Transformacion Digital
Etica e IA 6 min lectura

Cómo controlar a qué dominios pueden acceder tus agentes de IA en AWS

Permitir que agentes de IA naveguen por internet abre posibilidades pero también riesgos de seguridad y cumplimiento. Aquí explicamos cómo implementar filtrado por dominio con AWS Network Firewall y buenas prácticas para entornos regulados.

Por Redaccion TD
#aws #network-firewall #agentcore #seguridad #cumplimiento
Cómo controlar a qué dominios pueden acceder tus agentes de IA en AWS

Por qué controlar el acceso de los agentes de IA

Los agentes de IA con capacidad de navegar la web pueden automatizar investigaciones, obtener datos en tiempo real y ejecutar tareas complejas. Al mismo tiempo, el acceso indiscriminado a Internet plantea riesgos claros: navegación a sitios no autorizados, fuga de datos hacia dominios externos y exposición a contenido malicioso. Para organizaciones en América Latina —bancos, proveedores de salud, empresas reguladas y SaaS multitenant— estas preocupaciones suelen traducirse en requisitos estrictos de aislamiento, registro y control de egress.

Amazon Bedrock AgentCore ofrece herramientas gestionadas para que los agentes puedan interactuar con la web (Browser), ejecutar código (Code Interpreter) y alojar agentes (Runtime). Cuando estas capacidades se despliegan dentro de una Amazon VPC, AWS Network Firewall permite aplicar control de acceso basado en dominios, implementando políticas de allowlist/denylist y generando registros para auditoría y cumplimiento.

Objetivos de la arquitectura

La arquitectura que presentamos permite:

  • Permitir acceso solo a dominios aprobados (por ejemplo, wikipedia.org o stackoverflow.com).
  • Bloquear explícitamente categorías de sitios (p. ej., redes sociales) mediante reglas o plantillas.
  • Registrar intentos de conexión para auditoría y procesos de cumplimiento.
  • Aplicar una política por defecto ‘deny’ para dominios no especificados.

Estas capas se integran como parte de una estrategia de defensa en profundidad: SNI-based filtering (inspección del TLS SNI) es la primera línea, que se complementa con controles DNS y de contenido si se requiere una protección más estricta.

Componentes clave y flujo de tráfico

La implementación típica incluye los siguientes elementos dentro de la VPC:

  • Subred privada: ejecuta instancias del AgentCore Browser sin IP pública.
  • Subred pública: aloja un NAT Gateway para conectividad saliente.
  • Subred de firewall: donde corre el endpoint de AWS Network Firewall.
  • Tablas de ruteo separadas: controlan el flujo de salida y el retorno del tráfico a través del firewall.

Flujo simplificado:

  1. AgentCore Runtime ejecuta el agente e invoca la herramienta Browser.
  2. AgentCore Browser inicia una petición HTTPS desde la subred privada.
  3. La tabla de rutas de la subred privada dirige el tráfico hacia el NAT Gateway en la subred pública.
  4. El NAT Gateway envía la solicitud al endpoint de Network Firewall.
  5. Network Firewall inspecciona el encabezado TLS SNI para identificar el dominio destino y aplica las reglas configuradas.
  6. Si el dominio está en la allowlist, el firewall permite el tráfico hacia el Internet Gateway; si no, lo bloquea o lo registra según la política.
  7. El tráfico de retorno vuelve de forma simétrica pasando nuevamente por el firewall hasta el agente.

Esta ruta garantiza que todo el tráfico saliente del navegador sea inspeccionado y controlado, independientemente del destino final.

SNI vs DNS: limitaciones y medidas complementarias

La inspección SNI es eficaz para bloquear dominios a nivel TLS, pero tiene limitaciones conocidas. Un agente podría resolver un dominio bloqueado mediante DNS y conectar directamente por dirección IP, evitando la inspección SNI. Para mitigar este riesgo se recomienda complementar SNI-based filtering con DNS-level controls, por ejemplo, usando Amazon Route 53 Resolver DNS Firewall. La combinación de ambas técnicas reduce la superficie de ataque y ayuda a prevenir túneles DNS o exfiltración por medios alternativos.

Uso de reglas gestionadas y registro para cumplimiento

AWS Network Firewall ofrece reglas gestionadas que ayudan a bloquear acceso a botnets, dominios asociados con malware y otras categorías de alto riesgo. Además, la integración nativa con Amazon CloudWatch permite monitorear las acciones del firewall y generar métricas y logs que facilitan auditorías y cumplimiento normativo—un requisito frecuente en proyectos de IA en sectores regulados.

Casos relevantes para América Latina

En la región, muchas organizaciones requieren controles granulares por razones regulatorias y operativas:

  • Proveedores de software SaaS multitenant suelen necesitar políticas por cliente, donde el dominio A está permitido para un cliente y bloqueado para otro.
  • Entidades financieras y de salud demandan registros detallados y aislamiento de endpoints para cumplir con normas locales y mejores prácticas internacionales.
  • Empresas con operaciones regionales pueden aplicar restricciones por región, habilitando o deshabilitando categorías de sitios según jurisdicción.

Implementar allowlists por dominio y políticas por ejecución o por tenant reduce el riesgo frente a ataques por inyección de prompts y evita que un agente navegue hacia destinos no autorizados, independientemente de las instrucciones que reciba.

Requisitos previos y consideraciones prácticas

Antes de implementar esta arquitectura, asegúrese de contar con:

  • Una cuenta AWS con permisos para crear recursos VPC, AWS Network Firewall y roles IAM.
  • AWS CLI versión 2.x configurado con las credenciales adecuadas.
  • Acceso a Amazon Bedrock AgentCore.
  • Conocimientos básicos de redes en VPC y de los componentes mencionados (subredes, NAT Gateway, Internet Gateway, tablas de ruteo).

Para la configuración detallada de VPC y Network Firewall, siga la documentación oficial de Amazon Bedrock AgentCore y de AWS Network Firewall.

Recomendaciones operativas y buenas prácticas

  • Defina una lista de dominios aprobados alineada con los requisitos regulatorios y operativos de su organización.
  • Aplique un enfoque de defecto-denegar: permita solo lo necesario y registre todo intento de conexión.
  • Combine SNI inspection con DNS Firewall para cubrir evasiones por IP.
  • Use reglas gestionadas para reducir riesgos conocidos (dominios maliciosos, botnets) y compleméntelas con reglas personalizadas.
  • Mantenga registros centralizados y alertas en CloudWatch para auditoría y detección temprana de incidentes.
  • Para entornos multitenant, diseñe políticas por cliente y considere segmentación de red adicional para aislar cargas de trabajo.

Conclusión

Controlar a qué dominios pueden acceder los agentes de IA es una capa crítica en cualquier despliegue responsable de agentes que navegan la web. Usando Amazon Bedrock AgentCore dentro de una VPC y dirigiendo el tráfico a través de AWS Network Firewall con inspección SNI, es posible implementar allowlists, bloquear categorías de riesgo y mantener registros de auditoría. Para protecciones más avanzadas, combine este enfoque con controles DNS y monitoreo continuo. Estas medidas ayudan a mitigar riesgos técnicos y a cumplir exigencias de seguridad y cumplimiento que son cada vez más relevantes en América Latina.

Recursos

Consulte la documentación oficial de Amazon Bedrock AgentCore para el paso a paso de configuración de VPC y Network Firewall, y la documentación de AWS Network Firewall y Route 53 Resolver DNS Firewall para detalles sobre reglas y límites.

Fuente original: AWS ML Blog