메뉴 닫기

AWS WAF로 Amazon Bedrock AgentCore Runtime 보호하기

AWS WAF로 Amazon Bedrock AgentCore Runtime 보호하기

소개

AI 에이전트를 생성하여 Amazon Bedrock AgentCore를 통해 API 엔드포인트로 배포할 때, 웹 보안 강화를 위한 AWS WAF를 도입하는 것이 중요합니다. AWS WAF는 일반적인 웹 위협으로부터 보호를 제공하고, 웹 애플리케이션 방화벽 정책을 적용하며, 감사 제어를 수행할 수 있게 해줍니다. 본 포스팅에서는 AWS WAF를 활용하여 Amazon Bedrock AgentCore Runtime을 보호하는 방법과 그 활용 사례를 소개합니다.

본문

AWS WAF는 엘라스틱 로드 밸런싱(Elastic Load Balancing) 응용 프로그램 로드 밸런서(ALB), Amazon CloudFront 배포, 및 Amazon API Gateway REST API에 통합될 수 있습니다. 이 글에서는 AWS WAF를 통한 두 가지 아키텍처 패턴을 보여주며, 라우팅 트래픽을 VPC 인터페이스 엔드포인트를 통해 AgentCore Runtime으로 보내는 방법을 설명합니다.

아키텍처 개요

둘 다 AWS WAF를 포함하여 ALB에 트래픽을 보내고 VPC Endpoint를 거쳐 AgentCore Runtime으로 연결되는 방식을 택하고 있습니다.

  1. AWS WAF: ALB에 연결되어 SQL 인젝션 방지, XSS 필터링 등을 제공합니다.
  2. ALB: 인터넷에 노출되어 있으며, HTTPS 리스너로 VPC Endpoint ENI로 트래픽을 라우팅.
  3. VPC 인터페이스 엔드포인트: PrivateLink를 통해 AgentCore 연결.
  4. AgentCore Runtime: 에이전트 코드 실행 컨테이너, 내부 포트 8080에서 요청 수신.

패턴 1: Lambda 프록시를 이용한 ALB와 VPC 엔드포인트 연결

Lambda를 활용하여 요청 변환 및 보안 로깅을 지원하며, 다양한 인증 메서드 간의 변환이 가능하여 더욱 유연한 구성 가능.

패턴 1 아키텍처, Lambda 프록시 사용

패턴 2: ALB가 VPC 엔드포인트로 직접 연결

더 단순하고 지연 시간이 적은 구조를 원할 경우 선택하는 방식으로 Lambda를 사용하지 않으며 추가적인 요청 변환이 불필요.

패턴 2 아키텍처, Lambda 없이 ALB가 VPC 엔드포인트에 직접 연결

결론

AWS WAF를 활용하여 Amazon Bedrock AgentCore Runtime을 더욱 안전하게 보호할 수 있는 두 가지 아키텍처 패턴을 살펴보았습니다. 각 패턴은 사용 사례에 맞춰 유연성과 간단함을 제공합니다. AWS WAF와 VPC Endpoint, AgentCore의 내장 인증과 결합하여 AI 에이전트를 위한 심층 방어를 구축할 수 있습니다.

[1] https://aws.amazon.com/blogs/machine-learning/securing-amazon-bedrock-agentcore-runtime-with-aws-waf/

AI, Cloud 관련한 문의는 아래 연락처로 연락주세요!

(주)에이클라우드
이메일 : acloud@a-cloud.co.kr
회사 번호 : 02-538-3988
회사 홈페이지 : https://www.a-cloud.co.kr/
문의하기


AI, Cloud 도입 상담 배너