AWS Machine Learning Blog→ оригинал

AWS показала два паттерна защиты Amazon Bedrock AgentCore Runtime через WAF

AWS опубликовала руководство с двумя архитектурными паттернами для защиты Amazon Bedrock AgentCore Runtime через AWS WAF. Первый вариант добавляет…

AI-обработка оригинала AWS Machine Learning Blog; редакция Hamidun News
AWS показала два паттерна защиты Amazon Bedrock AgentCore Runtime через WAF
Источник: AWS Machine Learning Blog. Коллаж: Hamidun News.
◐ Слушать статью

AWS в блоге Machine Learning опубликовала руководство с двумя архитектурными паттернами для защиты Amazon Bedrock AgentCore Runtime через AWS WAF, протестированными с аутентификацией SigV4 и OAuth через Amazon Cognito JWT.

Зачем AgentCore Runtime нужна защита WAF

AgentCore Runtime — компонент Amazon Bedrock для запуска AI-агентов в production — по умолчанию не имеет встроенной фильтрации на уровне веб-приложения. Без дополнительной архитектуры злоумышленник может атаковать агента инъекциями, DDoS или подделкой запросов, обратившись к сервису напрямую.

AWS WAF (Web Application Firewall) позволяет блокировать известные векторы атак, ограничивать скорость запросов и применять управляемые группы правил ещё до того, как запрос достигнет агента. Оба представленных паттерна используют интернет-доступный Application Load Balancer (ALB) с подключённым AWS WAF и маршрутизируют трафик через VPC Interface Endpoint к AgentCore Runtime.

Ключевые параметры обоих решений:

  • ALB открыт для интернета, AWS WAF инспектирует каждый входящий запрос
  • Трафик направляется через VPC Interface Endpoint к AgentCore Runtime
  • Политика ресурсов запрещает прямой обход WAF
  • Поддерживается аутентификация SigV4 и OAuth (Amazon Cognito JWT)
  • Оба паттерна протестированы в сценариях end-to-end

Паттерн 1 против Паттерна 2: в чём разница

Паттерн 1 добавляет AWS Lambda между ALB и VPC Endpoint в роли прокси. Функция получает запрос после фильтрации WAF, может преобразовывать его — добавлять заголовки, нормализовать пути, изменять тело — и затем передаёт в AgentCore через VPC Endpoint. Это даёт максимальный контроль над трафиком, особенно полезный, если требуется логика трансформации или дополнительная валидация перед агентом. Плата за это — дополнительная задержка и стоимость Lambda-вызовов.

Паттерн 2 убирает Lambda-хоп полностью: ALB напрямую обращается к IP-адресам ENI (Elastic Network Interface) VPC Interface Endpoint. Это более прямолинейная схема с меньшей задержкой и без накладных расходов Lambda. Подходит, когда трансформация запросов не нужна, а приоритет — минимальная латентность при сохранении защиты WAF.

«Оба паттерна протестированы end-to-end с

SigV4 и OAuth (Amazon Cognito JWT) аутентификацией», — отмечает AWS в блоге Machine Learning.

Как закрыть backdoor через политику ресурсов

Самая критичная часть обоих паттернов — правильная настройка политики ресурсов AgentCore Runtime. Без неё защита WAF теряет смысл: злоумышленник может узнать публичный эндпоинт AgentCore и обратиться к нему напрямую, полностью обходя ALB и WAF.

Решение — условие `aws:SourceVpce` в политике ресурсов. Оно разрешает вызовы к AgentCore только через конкретный VPC Interface Endpoint, что гарантирует прохождение всего трафика через ALB и AWS WAF. Прямой backdoor закрыт на уровне политики IAM.

Такой подход реализует принцип Defence in Depth: WAF — первый рубеж фильтрации, политика ресурсов — второй, исключающий обход первого.

Что это значит

Руководство AWS даёт разработчикам AI-агентов на Bedrock готовые, протестированные паттерны вместо самостоятельного изобретения схем защиты. Выбор между ними прост: если нужна трансформация запросов — Паттерн 1 с Lambda, если важнее скорость и простота — Паттерн 2 с прямым маршрутом к ENI.

Частые вопросы

Какие методы аутентификации поддерживают оба паттерна?

Оба паттерна протестированы с AWS SigV4 (подпись запросов через ключи доступа AWS) и OAuth с токенами Amazon Cognito JWT. Выбор зависит от архитектуры приложения.

Почему недостаточно просто включить WAF без политики ресурсов?

AWS WAF защищает только трафик, проходящий через ALB. Если не закрыть прямой доступ к эндпоинту AgentCore политикой ресурсов с условием `aws:SourceVpce`, злоумышленник может обойти WAF, обратившись к AgentCore напрямую по публичному адресу.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…