Como controlar o acesso a domínios da internet pelos seus agentes de IA com Amazon Bedrock AgentCore e AWS Network Firewall

Controle de domínios para agentes de IA: segurança e compliance em foco

Agentes de inteligência artificial com acesso à internet, como os que utilizam o Amazon Bedrock AgentCore, ampliam consideravelmente as possibilidades de automação, pesquisa e coleta de dados em tempo real. No entanto, permitir acesso irrestrito a qualquer domínio na web pode gerar riscos de segurança e violações de conformidade, como acesso a sites não autorizados e vazamento de dados sensíveis.

Para mitigar esses riscos, a AWS lançou um recurso que permite controlar quais domínios os agentes de IA podem acessar, usando o AWS Network Firewall para implementar uma lista de permissões (allowlist) de domínios aprovados. Essa solução foca no filtro em nível de domínio via inspeção do cabeçalho TLS SNI, formando a primeira camada de uma abordagem de defesa em profundidade.

Quem pode usar e onde está disponível

Essa funcionalidade é destinada a clientes que utilizam o Amazon Bedrock AgentCore para executar agentes de IA que navegam na web (AgentCore Browser), interpretam código (Code Interpreter) ou hospedam agentes (Runtime), especialmente aqueles que operam em ambientes Amazon Virtual Private Cloud (VPC).

O recurso já está disponível nas regiões compatíveis com o Amazon Bedrock e AWS Network Firewall. Para usar, é necessário ter uma conta AWS com permissões para criar recursos de VPC, Network Firewall e funções IAM, além do AWS CLI configurado.

Como funciona o controle de acesso a domínios

O AgentCore Browser é implantado em uma sub-rede privada sem IP público. O tráfego de saída passa pelo AWS Network Firewall, que inspeciona o cabeçalho TLS Server Name Indication (SNI) para identificar o domínio de destino e aplicar regras de filtro baseadas em uma allowlist de domínios autorizados.

O fluxo de tráfego é o seguinte:

O agente executa uma requisição HTTPS através do AgentCore Browser.
O tráfego sai da sub-rede privada e é direcionado para um NAT Gateway na sub-rede pública.
O NAT Gateway encaminha o tráfego para o endpoint do Network Firewall.
O Network Firewall avalia o domínio via inspeção SNI e permite ou bloqueia o acesso conforme as regras definidas.
O tráfego autorizado é enviado para a internet via Internet Gateway, e o retorno segue o caminho inverso.

Essa arquitetura assegura que todo o tráfego do navegador seja inspecionado e filtrado, independentemente do destino.

Principais benefícios e casos de uso

Segurança reforçada: reduz a superfície de ataque contra navegação não autorizada e ataques de injeção de prompt, bloqueando domínios não autorizados.
Conformidade: permite auditoria e registro detalhado das tentativas de conexão, alinhando-se a requisitos regulatórios.
Controle granular: permite listas específicas de domínios permitidos (ex.: wikipedia.org, stackoverflow.com) e bloqueio de categorias inteiras, como redes sociais.
Multi-tenant SaaS: possibilita políticas de rede por cliente, atendendo diferentes necessidades de acesso.

Como configurar: passo a passo resumido

Para implementar esse controle, siga os passos básicos descritos abaixo. Para detalhes completos, consulte a documentação oficial do Amazon Bedrock AgentCore VPC configuration.

Deploy do stack CloudFormation: utilize o template disponível no repositório oficial para criar os recursos necessários (sub-redes, Network Firewall, NAT Gateway, etc.).

aws cloudformation deploy --template-file agentcore-browser-firewall.yaml --stack-name agentcore-egress --parameter-overrides BucketConfigForOutput=seu-bucket --region us-east-2

Configure a role IAM para AgentCore Browser: crie uma função com política de confiança para o serviço bedrock-agentcore.amazonaws.com.

Crie a allowlist do Network Firewall: defina uma regra stateful com os domínios permitidos, incluindo o prefixo "." para subdomínios.

{
  "RulesSource": {
    "RulesSourceList": {
      "Targets": [ ".wikipedia.org", ".stackoverflow.com", ".docs.aws.amazon.com", ".amazonaws.com", ".pypi.org", ".pythonhosted.org" ],
      "TargetTypes": ["HTTP_HOST", "TLS_SNI"],
      "GeneratedRulesType": "ALLOWLIST"
    }
  },
  "StatefulRuleOptions": {
    "RuleOrder": "STRICT_ORDER"
  }
}

Configure a política do firewall: defina a ação padrão para aws:drop_established, permitindo a inspeção TLS antes de bloquear conexões não autorizadas.
Crie um grupo de segurança para saída: permita todo o tráfego de saída, pois o filtro é feito pelo Network Firewall.
Crie o AgentCore Browser com configuração VPC: associe o navegador à sub-rede privada e ao grupo de segurança configurado.
Opcional: configure o AgentCore Code Interpreter e Runtime: também podem usar a mesma VPC e regras de firewall para proteção.
Teste a configuração: inicie uma sessão do navegador com o comando AWS CLI e utilize ferramentas como Playwright para verificar que domínios permitidos carregam e os bloqueados são rejeitados.

Dicas e melhores práticas

Inclua .amazonaws.com na allowlist para permitir acesso aos serviços AWS usados pelo agente, ou prefira VPC Endpoints para maior segurança.
Use a avaliação STRICT_ORDER nas regras para garantir processamento previsível.
Combine o filtro em nível de domínio via SNI com DNS Firewall do Amazon Route 53 para bloquear resoluções DNS e endereços IP diretos não autorizados.
Monitore logs de bloqueio no Amazon CloudWatch para auditoria e detecção de tentativas indevidas de acesso.

Impacto prático para o usuário

Com essa solução, organizações que utilizam agentes inteligentes ganham uma camada crítica de segurança e controle, fundamental para ambientes regulados e multi-tenant. A possibilidade de restringir o acesso a domínios específicos protege contra vazamento de dados e uso indevido dos agentes, além de facilitar a conformidade com políticas internas e externas.