AWS rieši, ako dostať WAF pred Bedrock AgentCore Runtime
Technický postup opisuje dve architektúry s ALB, VPC endpointom a WAF. Pre produkčných agentov je kľúčové hlavne uzavretie priameho prístupu mimo bezpečnostnej vrstvy.
Pripravil HERMES. Výber tém pomáha robiť BuloSentinel. Redakčná kontrola: Marek Považský.
- Typ zdroja
- Kurátorovaný súhrn
- Zdroj / autorita
- AWS Machine Learning Blog
Redakčný kontext
Tému vybral BuloSentinel ako súčasť monitorovania AI ekosystému. Text pripravil HERMES zo zdrojovo ukotvených podkladov a zodpovednú kontrolu pravidiel robí Marek Považský.
Článok je zaradený v sekcii AI produkty a opiera sa o 3 zdroje.
AWS publikoval technický postup pre tímy, ktoré chcú postaviť Amazon Bedrock AgentCore Runtime za AWS WAF. Ide o zdanlivo úzky infraštruktúrny detail, no v praxi je to presne typ problému, ktorý oddeľuje agentické demo od produkčnej služby. AgentCore môže vystavovať kontajnerizovaný runtime pre agentov a nástroje, ale podnikové prostredia často vyžadujú aj webový firewall, rate limiting, pravidlá proti bežným webovým útokom a jednotný bod auditu.
AWS vysvetľuje, že pri AgentCore Runtime nie je vhodné jednoducho vložiť ľubovoľnú proxy vrstvu a dúfať, že autentifikácia zostane čistá. AgentCore pracuje s vlastnou autentifikáciou cez SigV4 alebo OAuth a požiadavky agentov bývajú dynamické, nie cacheovateľné ako bežný webový obsah. CloudFront alebo API Gateway preto nemusia byť ideálnou voľbou pre každý scenár. Navrhovaná trasa používa internetový Application Load Balancer, AWS WAF a VPC Interface Endpoint smerujúci na dátovú rovinu AgentCore.
Prvý veľký problém je zdravotná kontrola. ALB potrebuje vedieť, či cieľ odpovedá, no AgentCore Runtime očakáva autentifikované volania. Bežná health check požiadavka bez podpisu preto nemusí prejsť. AWS opisuje dva vzory. Prvý vkladá medzi ALB a VPC endpoint AWS Lambda proxy, ktorá dáva tímu plnú kontrolu nad transformáciou a obsluhou požiadaviek. Druhý smeruje ALB priamo na IP adresy sieťových rozhraní VPC endpointu a odstraňuje dodatočný Lambda hop, ale vyžaduje opatrnejšiu správu cieľov.
Najdôležitejšia časť postupu je uzavretie obchádzky. Ak agentický runtime zostane dostupný aj priamo mimo WAF, bezpečnostná vrstva je iba dekorácia. AWS preto zdôrazňuje použitie resource policy tak, aby prevádzka musela prechádzať cez zamýšľanú cestu. Pre bezpečnostné tímy je toto kľúčové: nestačí pridať WAF pred jednu URL, ak existuje alternatívny endpoint bez rovnakých pravidiel. V prostredí agentov, ktoré môžu spúšťať nástroje alebo pristupovať k interným dátam, je takáto medzera obzvlášť nebezpečná.
Prečo to riešiť práve pri agentoch? Klasická webová aplikácia má predvídateľnejšie endpointy a formuláre. Agentický runtime môže dostať prirodzený jazyk, naplánovať viac krokov, volať nástroje a spracovať výsledky z viacerých systémov. To znamená väčšiu variabilitu vstupov aj väčšiu hodnotu toho, čo sa dá zneužiť. WAF nevyrieši všetky prompt-injection riziká, ale pomáha s vrstvou sieťových a aplikačných pravidiel, limitovaním požiadaviek, známymi exploit patternmi a kontrolou toho, kto sa k runtime vôbec dostane.
Z pohľadu architektov je zaujímavé, že AWS neponúka jeden univerzálny diagram. Lambda proxy vzor dáva flexibilitu, napríklad keď treba upraviť cestu, hlavičky alebo spracovať špecifické požiadavky pred odoslaním do AgentCore. Priamy ALB vzor je jednoduchší a môže znížiť latenciu aj prevádzkové náklady, no prináša viac detailov okolo cieľových IP adries a obnovy endpointov. Výber preto závisí od toho, či tím uprednostňuje kontrolu a transformáciu, alebo minimálny počet komponentov.
Prevádzkový význam je širší než samotný AWS WAF. Podniky budú pri agentoch potrebovať štandardné bezpečnostné konštrukcie: segmentáciu siete, centrálne logovanie, detekciu anomálií, správu identít, politiku pre priame endpointy a opakovateľné nasadenie cez infraštruktúru ako kód. AgentCore Runtime sa tak nestáva izolovanou AI službou, ale ďalším backendom v bezpečnostnej architektúre firmy. Ak sa k nemu pristupuje ako k experimentu, riziko rastie s každým novým nástrojom, ktorý agent dostane.
Pre vývojárske tímy je tento postup aj pripomienkou, že bezpečnosť agentov sa nesmie začínať až na úrovni promptu. Systémové inštrukcie a guardrails sú dôležité, ale útočník alebo chybný klient najprv narazí na sieťovú a aplikačnú vrstvu. Ak tá nevynucuje limity a správnu cestu požiadaviek, modelové pravidlá môžu byť obídené ešte predtým, než agent dostane šancu rozhodovať. Produkčný agent preto potrebuje obranu vo vrstvách: WAF, autentifikáciu, sieťové politiky, nástrojové oprávnenia aj audit krokov.
Pre firmy, ktoré dnes testujú Bedrock AgentCore, je praktický dopad jasný. Ak má agent smerovať do zákazníckeho alebo interného produkčného prostredia, treba už v pilotnej fáze navrhnúť, kadiaľ budú prúdiť požiadavky, kde sa budú filtrovať a ako sa zabráni priamemu prístupu mimo schválenú trasu. AWS návod je cenný najmä tým, že pomenúva okrajové prípady, ktoré sa v marketingových ukážkach často neobjavia: health checky, autentifikované runtime volania, privátne endpointy a resource policy. Práve tieto detaily rozhodujú o tom, či agentická služba prejde bezpečnostnou revíziou.
Zdroje