AWS показала два паттерна защиты Amazon Bedrock AgentCore Runtime через WAF
AWS опубликовала руководство с двумя архитектурными паттернами для защиты Amazon Bedrock AgentCore Runtime через AWS WAF. Первый вариант добавляет…
AI-обработка оригинала AWS Machine Learning Blog; редакция Hamidun News
AWS в блоге Machine Learning опубликовала руководство с двумя архитектурными паттернами для защиты Amazon Bedrock AgentCore Runtime через AWS WAF, протестированными с аутентификацией SigV4 и OAuth через Amazon Cognito JWT.
Зачем AgentCore Runtime нужна защита WAF
AgentCore Runtime — компонент Amazon Bedrock для запуска AI-агентов в production — по умолчанию не имеет встроенной фильтрации на уровне веб-приложения. Без дополнительной архитектуры злоумышленник может атаковать агента инъекциями, DDoS или подделкой запросов, обратившись к сервису напрямую.
AWS WAF (Web Application Firewall) позволяет блокировать известные векторы атак, ограничивать скорость запросов и применять управляемые группы правил ещё до того, как запрос достигнет агента. Оба представленных паттерна используют интернет-доступный Application Load Balancer (ALB) с подключённым AWS WAF и маршрутизируют трафик через VPC Interface Endpoint к AgentCore Runtime.
Ключевые параметры обоих решений:
- ALB открыт для интернета, AWS WAF инспектирует каждый входящий запрос
- Трафик направляется через VPC Interface Endpoint к AgentCore Runtime
- Политика ресурсов запрещает прямой обход WAF
- Поддерживается аутентификация SigV4 и OAuth (Amazon Cognito JWT)
- Оба паттерна протестированы в сценариях end-to-end
Паттерн 1 против Паттерна 2: в чём разница
Паттерн 1 добавляет AWS Lambda между ALB и VPC Endpoint в роли прокси. Функция получает запрос после фильтрации WAF, может преобразовывать его — добавлять заголовки, нормализовать пути, изменять тело — и затем передаёт в AgentCore через VPC Endpoint. Это даёт максимальный контроль над трафиком, особенно полезный, если требуется логика трансформации или дополнительная валидация перед агентом. Плата за это — дополнительная задержка и стоимость Lambda-вызовов.
Паттерн 2 убирает Lambda-хоп полностью: ALB напрямую обращается к IP-адресам ENI (Elastic Network Interface) VPC Interface Endpoint. Это более прямолинейная схема с меньшей задержкой и без накладных расходов Lambda. Подходит, когда трансформация запросов не нужна, а приоритет — минимальная латентность при сохранении защиты WAF.
«Оба паттерна протестированы end-to-end с
SigV4 и OAuth (Amazon Cognito JWT) аутентификацией», — отмечает AWS в блоге Machine Learning.
Как закрыть backdoor через политику ресурсов
Самая критичная часть обоих паттернов — правильная настройка политики ресурсов AgentCore Runtime. Без неё защита WAF теряет смысл: злоумышленник может узнать публичный эндпоинт AgentCore и обратиться к нему напрямую, полностью обходя ALB и WAF.
Решение — условие `aws:SourceVpce` в политике ресурсов. Оно разрешает вызовы к AgentCore только через конкретный VPC Interface Endpoint, что гарантирует прохождение всего трафика через ALB и AWS WAF. Прямой backdoor закрыт на уровне политики IAM.
Такой подход реализует принцип Defence in Depth: WAF — первый рубеж фильтрации, политика ресурсов — второй, исключающий обход первого.
Что это значит
Руководство AWS даёт разработчикам AI-агентов на Bedrock готовые, протестированные паттерны вместо самостоятельного изобретения схем защиты. Выбор между ними прост: если нужна трансформация запросов — Паттерн 1 с Lambda, если важнее скорость и простота — Паттерн 2 с прямым маршрутом к ENI.
Частые вопросы
Какие методы аутентификации поддерживают оба паттерна?
Оба паттерна протестированы с AWS SigV4 (подпись запросов через ключи доступа AWS) и OAuth с токенами Amazon Cognito JWT. Выбор зависит от архитектуры приложения.
Почему недостаточно просто включить WAF без политики ресурсов?
AWS WAF защищает только трафик, проходящий через ALB. Если не закрыть прямой доступ к эндпоинту AgentCore политикой ресурсов с условием `aws:SourceVpce`, злоумышленник может обойти WAF, обратившись к AgentCore напрямую по публичному адресу.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.
Главное из мира ИИ — раз в неделю
7 ключевых событий недели, отобранных вручную. Без шума, репостов и пресс-релизов.
Готово! Проверьте почту — мы отправили подтверждение.