Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Keamanan untuk Amazon Connect
Amazon Connect menyediakan sejumlah fitur keamanan yang perlu dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap sebagai pertimbangan yang membantu dan bukan sebagai resep.
Daftar Isi
Praktik terbaik keamanan preventif Amazon Connect
-
Pastikan bahwa semua izin profil seketat mungkin. Izinkan akses hanya ke sumber daya yang benar-benar diperlukan untuk peran pengguna. Misalnya, jangan berikan izin agen untuk membuat, membaca, atau memperbarui pengguna di Amazon Connect.
-
Pastikan otentikasi multi-faktor (MFA) diatur melalui penyedia identitas SAML 2.0 Anda, atau server Radius, jika itu lebih berlaku untuk kasus penggunaan Anda. Setelah MFA diatur, kotak teks ketiga akan terlihat di halaman login Amazon Connect untuk memberikan faktor kedua.
-
Jika Anda menggunakan direktori yang ada melalui AWS Directory Service atau SAML berbasis otentikasi untuk manajemen identitas, pastikan bahwa Anda mengikuti semua persyaratan keamanan yang sesuai untuk kasus penggunaan Anda.
-
Gunakan Login untuk akses darurat URL pada halaman instance AWS konsol hanya dalam situasi darurat, bukan untuk penggunaan sehari-hari. Untuk informasi selengkapnya, lihat Login darurat ke situs web admin Amazon Connect.
Gunakan kebijakan kontrol layanan (SCPs)
Kebijakan kontrol layanan (SCPs) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. SCPMendefinisikan pagar pembatas, atau menetapkan batasan, pada tindakan yang administrator akun dapat mendelegasikan kepada pengguna dan peran di akun yang terpengaruh. Anda dapat menggunakannya SCPs untuk melindungi sumber daya penting yang terkait dengan beban kerja Amazon Connect.
Menetapkan Kebijakan Kontrol Layanan untuk mencegah penghapusan sumber daya penting
Jika Anda menggunakan autentikasi SAML berbasis 2.0 dan menghapus AWS IAM Peran yang digunakan untuk mengautentikasi pengguna Amazon Connect, pengguna tidak akan dapat masuk ke instans Amazon Connect. Anda harus menghapus dan membuat ulang pengguna untuk dikaitkan dengan Peran baru. Ini menghasilkan penghapusan semua data yang terkait dengan pengguna tersebut.
Untuk mencegah penghapusan sumber daya penting yang tidak disengaja dan untuk melindungi ketersediaan instans Amazon Connect, Anda dapat menetapkan Kebijakan Kontrol Layanan (SCP) sebagai kontrol tambahan.
Berikut ini adalah contoh SCP yang dapat diterapkan di AWS Akun, Unit Organisasi, atau Root Organisasi untuk mencegah penghapusan instans Amazon Connect dan Peran terkait:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonConnectRoleDenyDeletion", "Effect": "Deny", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/Amazon Connect user role" ] }, { "Sid": "AmazonConnectInstanceDenyDeletion", "Effect": "Deny", "Action": [ "connect:DeleteInstance" ], "Resource": [ "Amazon Connect instance ARN" ] } ] }
Praktik terbaik keamanan detektif Amazon Connect
Pencatatan dan pemantauan penting untuk ketersediaan, keandalan, dan kinerja pusat kontak. Anda harus mencatat informasi yang relevan dari alur Amazon Connect ke CloudWatch dan membuat peringatan dan notifikasi berdasarkan hal yang sama.
Tentukan persyaratan penyimpanan log dan kebijakan siklus hidup sejak dini, dan rencanakan untuk memindahkan file log ke lokasi penyimpanan yang hemat biaya sesegera mungkin. Amazon Connect APIs log publik ke CloudTrail. Tinjau dan otomatiskan tindakan berdasarkan CloudTrail log.
Kami merekomendasikan Amazon S3 untuk penyimpanan jangka panjang dan pengarsipan data log, terutama untuk organisasi dengan program kepatuhan yang mengharuskan data log dapat diaudit dalam format aslinya. Setelah data log berada di bucket Amazon S3, tentukan aturan siklus hidup untuk secara otomatis menerapkan kebijakan retensi dan memindahkan objek ini ke kelas penyimpanan lain yang hemat biaya, seperti Standar Amazon S3 - Akses Jarang (Standar - IA) atau Amazon S3 Glacier.
AWS Cloud menyediakan infrastruktur dan alat yang fleksibel untuk mendukung penawaran mitra yang canggih dan solusi pencatatan terpusat yang dikelola sendiri. Ini termasuk solusi seperti Amazon OpenSearch Service dan Amazon CloudWatch Logs.
Anda dapat menerapkan deteksi dan pencegahan penipuan untuk kontak yang masuk dengan menyesuaikan alur Amazon Connect sesuai kebutuhan Anda. Misalnya, Anda dapat memeriksa kontak masuk terhadap aktivitas kontak sebelumnya di Dynamo DB dan kemudian mengambil tindakan seperti memutuskan kontak yang ada di daftar penolakan.
Praktik terbaik keamanan Obrolan Amazon Connect
Bila Anda berintegrasi dengan Amazon Connect Participant Service secara langsung (atau menggunakan library Amazon Connect Chat Java Script) dan menggunakan WebSocket atau streaming endpoint untuk menerima pesan untuk aplikasi atau situs web frontend Anda, Anda harus melindungi aplikasi Anda dari serangan DOM berbasis XSS (cross-site scripting).
Rekomendasi keamanan berikut dapat membantu melindungi terhadap serangan: XSS
-
Menerapkan pengkodean keluaran yang tepat untuk membantu mencegah skrip berbahaya dieksekusi.
-
Jangan bermutasi DOM secara langsung. Misalnya, jangan gunakan
innerHTMLuntuk membuat konten respons obrolan. Ini mungkin berisi kode Javascript berbahaya yang dapat menyebabkan XSS serangan. Gunakan pustaka frontend seperti React untuk melarikan diri dan membersihkan kode yang dapat dieksekusi yang disertakan dalam respons obrolan. -
Menerapkan Kebijakan Keamanan Konten (CSP) untuk membatasi sumber dari mana aplikasi Anda dapat memuat skrip, gaya, dan sumber daya lainnya. Ini menambahkan lapisan perlindungan ekstra.
