Práticas recomendadas de segurança para o Amazon Connect
O Amazon Connect fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas melhores práticas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
Conteúdo
Práticas recomendadas de segurança preventiva do Amazon Connect
-
Garanta que todas as permissões de perfil sejam o mais restritivas possível. Permita acesso apenas aos recursos absolutamente necessários para a função do usuário. Por exemplo, não conceda permissões aos atendentes para criar, ler ou atualizar usuários no Amazon Connect.
-
Verifique se a autenticação multifator (MFA) está configurada por meio do provedor de identidade SAML 2.0 ou do servidor Radius, se for mais aplicável ao seu caso de uso. Depois que a MFA é configurada, uma terceira caixa de texto fica visível na página de login do Amazon Connect para fornecer o segundo fator.
-
Se você usar um diretório existente por meio de autenticação baseada em SAML ou AWS Directory Service para gerenciamento de identidades, siga todos os requisitos de segurança apropriados para seu caso de uso.
-
Use o URL de Login para acesso de emergência na página de instâncias do Console da AWS somente em situações de emergência, não para uso diário. Para ter mais informações, consulte Login de emergência no site de administração do Amazon Connect.
Usar políticas de controle de serviços (SCPs)
As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. Uma SCP define uma barreira de proteção, ou define limites, nas ações que o administrador da conta pode delegar a usuários e funções nas contas afetadas. Você pode usar SCPs para proteger recursos essenciais associados à workload do Amazon Connect.
Definir uma política de controle de serviços para evitar a exclusão de recursos essenciais
Se você estiver usando a autenticação baseada em SAML 2.0 e excluir o perfil do AWS IAM usado para autenticar usuários do Amazon Connect, os usuários não conseguirão fazer login na instância do Amazon Connect. Você precisará excluir e recriar os usuários a serem associados a um novo perfil. Isso resulta na exclusão de todos os dados associados a esses usuários.
Para evitar a exclusão acidental de recursos essenciais e proteger a disponibilidade da instância do Amazon Connect, você pode definir uma política de controle de serviços (SCP) como um controle adicional.
Veja o seguinte exemplo de SCP que pode ser aplicada na conta da AWS, na unidade organizacional ou na raiz organizacional para evitar a exclusão da instância do Amazon Connect e do perfil associado:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonConnectRoleDenyDeletion", "Effect": "Deny", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/Amazon Connect user role" ] }, { "Sid": "AmazonConnectInstanceDenyDeletion", "Effect": "Deny", "Action": [ "connect:DeleteInstance" ], "Resource": [ "Amazon Connect instance ARN" ] } ] }
Práticas recomendadas de segurança de detecção do Amazon Connect
O registro em log e o monitoramento são importantes para a confiabilidade, a disponibilidade e o desempenho da central de atendimento. Você deve registrar informações relevantes dos fluxos do Amazon Connect para o CloudWatch e criar alertas e notificações com base nelas.
Defina os requisitos de retenção de logs e as políticas de ciclo de vida desde o início e prepare-se para mover os arquivos de log para locais de armazenamento econômicos assim que possível. As APIs públicas do Amazon Connect são registradas em log no CloudTrail. Analise e automatize ações com base nos logs do CloudTrail.
Recomendamos o Amazon S3 para retenção e arquivamento de dados de log de longo prazo, especialmente para organizações com programas de conformidade que exigem que os dados de log sejam auditáveis em seu formato nativo. Depois que os dados de log estiverem em um bucket do Amazon S3, defina regras de ciclo de vida para aplicar automaticamente as políticas de retenção e mover esses objetos para outras classes de armazenamento econômicas, como Amazon S3 Standard-Infrequent Access (S3 Standard-IA) ou Amazon S3 Glacier.
A Nuvem AWS fornece infraestrutura e ferramentas flexíveis para comportar ofertas sofisticadas de parceiros e soluções autogerenciadas de registro em log centralizado. Isso inclui soluções como o Amazon OpenSearch Service e o Amazon CloudWatch Logs.
Você pode implementar a detecção e a prevenção de fraudes para contatos recebidos personalizando os fluxos do Amazon Connect de acordo com suas necessidades. Por exemplo, você pode comparar contatos recebidos com relação a atividades de contatos anteriores no Dynamo DB e, em seguida, tomar medidas como desconectar um contato que está em uma lista de negação.
Práticas recomendadas de segurança do Amazon Connect Chat
Quando você se integra diretamente ao Amazon Connect Participant Service (ou usa a biblioteca Java Script do Amazon Connect Chat) e usa o WebSocket ou endpoints de streaming para receber mensagens para seus sites ou aplicações frontend, deve proteger a aplicação contra ataques cross-site scripting (XSS) baseados em DOM.
As seguintes recomendações de segurança podem ajudar na proteção contra ataques XSS:
-
Implementar a codificação de saída adequada para ajudar a impedir a execução de scripts mal-intencionados.
-
Não modificar o DOM diretamente. Por exemplo, não usar
innerHTMLpara renderizar o conteúdo das respostas do chat. Ele pode conter código Javascript mal-intencionado que pode levar a um ataque XSS. Usar bibliotecas de frontend como o React para escapar e limpar qualquer código executável incluído na resposta do chat. -
Implementar uma Política de segurança de conteúdo (CSP) para restringir as fontes das quais sua aplicação pode carregar scripts, estilos e outros recursos. Isso adiciona uma camada extra de proteção.
