Prácticas recomendadas de seguridad para Amazon Connect

Amazon Connect proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Contenido

Prácticas recomendadas preventivas de seguridad de Amazon Connect
Prácticas recomendadas de detección de seguridad de Amazon Connect
Prácticas recomendadas de seguridad para Chat de Amazon Connect

Prácticas recomendadas preventivas de seguridad de Amazon Connect

Asegúrese de que todos los permisos de perfil sean lo más restrictivos posible. Permita el acceso solo a los recursos absolutamente necesarios para el rol del usuario. Por ejemplo, no conceda a los agentes permisos para crear, leer o actualizar usuarios en Amazon Connect.
Asegúrese de que la autenticación multifactor (MFA) esté configurada a través del proveedor de identidades SAML 2.0 o del servidor Radius, si se aplica más a su caso de uso. Después de configurar MFA, aparecerá un tercer cuadro de texto en la página de inicio de sesión de Amazon Connect para proporcionar el segundo factor.
Si utiliza un directorio existente a través de AWS Directory Service o la autenticación basada en SAML para la administración de identidades, asegúrese de cumplir todos los requisitos de seguridad adecuados para su caso de uso.
Utilice la URL de Iniciar sesión para acceso de emergencia en la página de instancias de la consola de AWS solo en situaciones de emergencia, no para uso diario. Para obtener más información, consulte Inicio de sesión de emergencia en el sitio web de administración de Amazon Connect.

Uso de políticas de control de servicio (SCP)

Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. Un SCP define una barrera de protección o establece límites a las acciones que el administrador de la cuenta puede delegar en los usuarios y roles de las cuentas afectadas. Puede utilizar SCP para proteger los recursos críticos asociados a su carga de trabajo de Amazon Connect.

Establecimiento de una política de control de servicio para evitar que se eliminen recursos críticos

Si utiliza la autenticación basada en SAML 2.0 y elimina el rol de AWS IAM que se utiliza para autenticar a los usuarios de Amazon Connect, estos no podrán iniciar sesión en la instancia de Amazon Connect. Tendrá que eliminar y volver a crear usuarios para asociarlos a un nuevo rol. El resultado es la eliminación de todos los datos asociados a esos usuarios.

Para evitar la eliminación accidental de recursos críticos y proteger la disponibilidad de su instancia de Amazon Connect, puede establecer una política de control de servicio (SCP) como control adicional.

A continuación, se muestra un ejemplo de SCP que puede aplicarse en la cuenta de AWS, la unidad organizativa o la raíz organizativa para evitar que se elimine la instancia de Amazon Connect y el rol asociado:


{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Prácticas recomendadas de detección de seguridad de Amazon Connect

El registro y el monitoreo son importantes para la disponibilidad, la fiabilidad y el rendimiento del centro de contacto. Debe registrar la información pertinente de flujos de Amazon Connect en CloudWatch y crear alertas y notificaciones basadas en ella.

Defina los requisitos de retención de registros y las políticas de ciclo de vida desde el principio, y planificar el traslado de los archivos de registro a ubicaciones de almacenamiento rentables tan pronto como sea práctico. Registro de las API públicas de Amazon Connect en CloudTrail. Revise y automatice las acciones en función de los registros de CloudTrail.

Recomendamos Amazon S3 para la retención a largo plazo y el archivo de datos de registro, especialmente para las organizaciones con programas de conformidad que requieren que los datos de registro sean auditables en su formato nativo. Una vez que los datos de registro se encuentren en un bucket de Amazon S3, defina las reglas del ciclo de vida para aplicar automáticamente las políticas de retención y traslade estos objetos a otras clases de almacenamiento rentables, como Amazon S3 Standard - Infrequent Access (Standard - IA) o Amazon S3 Glacier.

La nube de AWS proporciona una infraestructura flexible y herramientas para respaldar tanto las sofisticadas ofertas de socios como las soluciones de registro centralizado autoadministradas. Esto incluye soluciones como Amazon OpenSearch Service y Registros de Amazon CloudWatch.

Puede implementar la detección y prevención de fraudes en los contactos entrantes mediante la personalización de flujos de Amazon Connect según sus requisitos. Por ejemplo, puede comparar los contactos entrantes con la actividad previa de los contactos en la base de datos de Dynamo y, a continuación, tomar medidas como desconectar a un contacto que esté en una lista de denegados.

Prácticas recomendadas de seguridad para Chat de Amazon Connect

Cuando integre directamente con Amazon Connect Participant Service (o utilice la biblioteca de JavaScript de Chat de Amazon Connect) y utilice WebSocket o puntos de conexión de streaming para recibir mensajes para sus aplicaciones frontend o sitios web, debe proteger su aplicación de los ataques XSS (cross-site scripting) basados en DOM.

Las siguientes recomendaciones de seguridad pueden ayudarle a protegerse frente a los ataques XSS:

Implemente una codificación de salida adecuada para evitar la ejecución de scripts malintencionados.
No mute el DOM directamente. Por ejemplo, no utilice innerHTML para renderizar el contenido de las respuestas del chat. Puede contener código JavaScript malicioso que puede provocar un ataque XSS. Utilice bibliotecas de frontend como React para escapar y desinfectar cualquier código ejecutable incluido en la respuesta del chat.
Implemente una política de seguridad de contenido (CSP) para restringir las fuentes desde las que su aplicación puede cargar scripts, estilos y otros recursos. Esto agrega una capa adicional de protección.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prevención del suplente confuso entre servicios en AWS

Configuración de las restricciones de direcciones IP y los tiempos de espera de sesión