Best practice di sicurezza per Amazon Connect - Amazon Connect
Best practice di sicurezza preventiva di Amazon ConnectBest practice per la sicurezza investigativa di Amazon ConnectBest practice per la sicurezza di Amazon Connect Chat

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per Amazon Connect

Amazon Connect fornisce una serie di funzionalità di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Dato che queste best practice potrebbero non essere appropriate o sufficienti nel proprio ambiente, si considerino come riflessioni utili più che istruzioni.

Best practice di sicurezza preventiva di Amazon Connect

  • Assicurati che tutte le autorizzazioni dei profili siano il più restrittive possibile. Consenti l'accesso solo alle risorse assolutamente necessarie per il ruolo dell'utente. Ad esempio, non concedere agli agenti autorizzazioni per creare, leggere o aggiornare gli utenti in Amazon Connect.

  • Assicurati che l'autenticazione a più fattori (MFA) sia configurata tramite il tuo provider di identità SAML 2.0 o il server Radius, se più adatto al tuo caso d'uso. Dopo MFA la configurazione, una terza casella di testo diventa visibile nella pagina di accesso di Amazon Connect per fornire il secondo fattore.

  • Se utilizzi una directory esistente tramite AWS Directory Service o SAML basata sull'autenticazione per la gestione delle identità, assicurati di rispettare tutti i requisiti di sicurezza appropriati per il tuo caso d'uso.

  • Utilizza il login per l'accesso di emergenza nella URL pagina dell'istanza della AWS console solo in situazioni di emergenza, non per l'uso quotidiano. Per ulteriori informazioni, consulta Accesso di emergenza al sito Web di amministrazione di Amazon Connect.

Utilizza le politiche di controllo del servizio (SCPs)

Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. An SCP definisce una barriera, o impone dei limiti, alle azioni che l'amministratore dell'account può delegare agli utenti e ai ruoli negli account interessati. Puoi utilizzarlo SCPs per proteggere le risorse critiche associate al tuo carico di lavoro Amazon Connect.

Impostazione di una policy di controllo dei servizi per impedire l'eliminazione di risorse critiche

Se utilizzi l'autenticazione SAML basata sulla tecnologia 2.0 ed elimini il AWS IAM ruolo utilizzato per autenticare gli utenti di Amazon Connect, gli utenti non saranno in grado di accedere all'istanza Amazon Connect. Dovrai eliminare e ricreare gli utenti da associare a un nuovo ruolo. Ciò comporta l'eliminazione di tutti i dati associati a tali utenti.

Per evitare l'eliminazione accidentale di risorse critiche e proteggere la disponibilità della tua istanza Amazon Connect, puoi impostare una Service Control Policy (SCP) come controllo aggiuntivo.

Di seguito è riportato un esempio SCP che può essere applicato all' AWS account, all'unità organizzativa o alla radice organizzativa per impedire l'eliminazione dell'istanza Amazon Connect e del ruolo associato:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Best practice per la sicurezza investigativa di Amazon Connect

La registrazione di log e il monitoraggio sono importanti per garantire l'affidabilità, la disponibilità e le prestazioni del contact center. È necessario registrare le informazioni pertinenti dai flussi di Amazon Connect CloudWatch e creare avvisi e notifiche basati su di essi.

Definisci in anticipo i requisiti di conservazione dei log e le policy relative al ciclo di vita e pianifica lo spostamento dei file di log in posizioni di archiviazione più economiche non appena possibile. APIsAccesso pubblico ad Amazon Connect a CloudTrail. Rivedi e automatizza le azioni in base ai CloudTrail log.

Amazon S3 è la scelta consigliata per la conservazione e l'archiviazione a lungo termine dei dati di log, in particolare per le organizzazioni con programmi di conformità che richiedono che i dati di log siano verificabili nel loro formato nativo. Dopo aver inserito i dati di log in un bucket Amazon S3, definisci le regole del ciclo di vita per applicare automaticamente le politiche di conservazione e sposta questi oggetti in altre classi di storage convenienti, come Amazon S3 Standard - Infrequent Access (Standard - IA) o Amazon S3 Glacier.

Il AWS cloud offre infrastrutture e strumenti flessibili per supportare sia offerte di partner sofisticate che soluzioni di registrazione centralizzate autogestite. Ciò include soluzioni come Amazon OpenSearch Service e Amazon CloudWatch Logs.

Puoi implementare il rilevamento e la prevenzione delle frodi per i contatti in entrata personalizzando i flussi Amazon Connect in base alle tue esigenze. Ad esempio, puoi confrontare i contatti in entrata con le precedenti attività dei contatti in Dynamo DB e intraprendere azioni come disconnettere un contatto che si trova in una lista di contatti non consentiti.

Best practice per la sicurezza di Amazon Connect Chat

Quando effettui l'integrazione diretta con Amazon Connect Participant Service (o utilizzi la libreria Java Script di Amazon Connect Chat) e utilizzi WebSocket gli endpoint di streaming per ricevere messaggi per le tue applicazioni o siti Web di frontend, devi proteggere l'applicazione dagli attacchi DOM basati XSS (cross-site scripting).

I seguenti consigli di sicurezza possono aiutarti a proteggerti dagli attacchi: XSS

  • Implementa una corretta codifica di output per impedire l'esecuzione di script dannosi.

  • Non DOM modificate direttamente. Ad esempio, non innerHTML utilizzarlo per visualizzare i contenuti delle risposte alla chat. Potrebbe contenere codice Javascript dannoso che può provocare un XSS attacco. Usa librerie di frontend come React per eliminare e disinfettare qualsiasi codice eseguibile incluso nella risposta alla chat.

  • Implementa una Content Security Policy (CSP) per limitare le fonti da cui l'applicazione può caricare script, stili e altre risorse. Ciò aggiunge un ulteriore livello di protezione.