Amazon Connect 的安全最佳实践 - Amazon Connect
Amazon Connect 预防性安全最佳实践Amazon Connect 侦探安全最佳实践Amazon Connect Chat 安全最佳实践

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Connect 的安全最佳实践

Amazon Connect 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实操是一般准则,并不代表完整的安全解决方案。这些最佳实操可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。

Amazon Connect 预防性安全最佳实践

  • 确保所有配置文件权限的限制性都尽可能高。仅允许访问用户角色绝对需要的那些资源。例如,不要授予座席在 Amazon Connect 中创建、读取或更新用户的权限。

  • 确保通过您的 SAML 2.0 身份提供商或 Radius 服务器设置多因素身份验证 (MFA),如果这更适合您的用例。设置完成后MFA,第三个文本框将显示在 Amazon Connect 登录页面上,以提供第二个因素。

  • 如果您使用通过 AWS Directory Service 或SAML基于身份验证的现有目录进行身份管理,请确保遵守适用于您的用例的所有安全要求。

  • 在紧急情况下,使用 AWS 控制台实例页面URL上的登录进行紧急访问,而不是日常使用。有关更多信息,请参阅 紧急登录 Amazon Connect 管理网站

使用服务控制策略 (SCPs)

服务控制策略 (SCPs) 是一种组织策略,可用于管理组织中的权限。对SCP账户管理员可以委托给受影响账户中的用户和角色的操作设置了防护栏或设置了限制。您可以使用SCPs来保护与您的 Amazon Connect 工作负载相关的关键资源。

设置服务控制策略以防止删除关键资源

如果您使用的是SAML基于 2.0 的身份验证并删除了用于对 Amazon Connect 用户进行身份验证的 AWS IAM角色,则用户将无法登录 Amazon Connect 实例。您将需要删除并重新创建用户才能与新角色相关联。这样会导致删除与这些用户相关联的所有数据。

为了防止意外删除关键资源并保护 Amazon Connect 实例的可用性,您可以将服务控制策略 (SCP) 设置为额外的控制措施。

以下示例SCP可以应用于 AWS 账户、组织单位或组织根目录,以防止删除 Amazon Connect 实例和相关角色:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Amazon Connect 侦探安全最佳实践

日志记录和监控对于联系中心的可用性、可靠性和性能非常重要。您应该记录来 CloudWatch 自 Amazon Connect 流的相关信息,并基于这些信息创建警报和通知。

尽早定义日志保留要求和生命周期策略,并计划尽快将日志文件移至经济高效的存储位置。Amazon Connect 公共APIs登录到 CloudTrail。根据 CloudTrail 日志查看并自动执行操作。

建议采用 Amazon S3 对日志数据进行长期保留和存档,特别是对于具有合规性计划的组织更是如此,这些组织要求以本机格式对日志数据进行审计。将日志数据存入 Amazon S3 存储桶后,定义生命周期规则以自动强制执行保留策略,并将这些对象移动到其他经济实惠的存储类别,例如 Amazon S3 标准-不频繁访问(标准-IA)或 Amazon S3 Glacier。

AWS 云提供了灵活的基础架构和工具,以支持复杂的合作伙伴产品和自我管理的集中式日志解决方案。这包括诸如亚马逊 OpenSearch 服务和亚马逊 CloudWatch 日志之类的解决方案。

您可以根据自己的要求自定义 Amazon Connect 流,从而对传入联系人实施欺诈检测和防范。例如,您可以在 Dynamo DB 中对照之前的联系人活动来检查传入联系人,然后采取措施,例如断开拒绝列表上的联系人的连接。

Amazon Connect Chat 安全最佳实践

当您直接与 Amazon Connect 参与者服务(或使用 Amazon Connect Chat Java 脚本库)集成,并使用终端节点 WebSocket 或流式传输终端节点接收前端应用程序或网站的消息时,必须保护您的应用程序免受DOM基于XSS(跨站点脚本)的攻击。

以下安全建议可以帮助防范攻XSS击:

  • 实现正确的输出编码以帮助防止恶意脚本执行。

  • 不要DOM直接变异。例如,不要使用innerHTML来呈现聊天回复内容。它可能包含可能导致XSS攻击的恶意 Javascript 代码。使用像 React 这样的前端库来逃避和清理聊天响应中包含的任何可执行代码。

  • 实施内容安全策略 (CSP) 以限制您的应用程序可以从中加载脚本、样式和其他资源的来源。这增加了额外的保护层。