Amazon Connect 的安全最佳實務 - Amazon Connect
Amazon Connect 預防性安全最佳實務Amazon Connect 偵測安全最佳實務Amazon Connect Chat 安全最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Connect 的安全最佳實務

在您開發和實作自己的安全政策時,可考慮使用 Amazon Connect 提供的多種安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。

Amazon Connect 預防性安全最佳實務

  • 請確保所有設定檔許可都盡可能受到限制。允許僅存取使用者角色絕對需要使用的資源。例如,請勿授與客服人員在 Amazon Connect 中建立、讀取或更新使用者的許可。

  • 如果多因素身分驗證 (MFA) 更適用於您的使用案例,請確保透過 2.0 SAML 身分提供者或 Radius 伺服器設定。MFA 設定 後,第三個文字方塊會在 Amazon Connect 登入頁面上顯示,以提供第二個因素。

  • 如果您透過 AWS Directory Service 或 SAML型身分驗證使用現有目錄進行身分管理,請確定您遵循適合您使用案例的所有安全要求。

  • 僅在緊急情況下使用 AWS 主控台URL執行個體頁面上的登入進行緊急存取,而不是每天使用。如需詳細資訊,請參閱Amazon Connect 管理員網站的緊急登入

使用服務控制政策 (SCPs)

服務控制政策 (SCPs) 是一種組織政策,可用來管理組織中的許可。會針對帳戶管理員可委派給受影響帳戶中使用者和角色的動作,SCP定義護欄或設定限制。您可以使用 SCPs 來保護與 Amazon Connect 工作負載相關聯的重要資源。

設定服務控制策略以防止刪除關鍵資源

如果您使用 SAML 2.0 型身分驗證, AWS IAM並刪除用於驗證 Amazon Connect 使用者的角色,則使用者將無法登入 Amazon Connect 執行個體。您必須刪除並重新建立使用者,才能與新角色產生關聯。這會導致刪除與這些使用者相關的所有資料。

為了防止意外刪除關鍵資源並保護 Amazon Connect 執行個體的可用性,您可以將 Service Control Policy (SCP) 設定為額外的控制項。

以下是可在 AWS 帳戶、組織單位或組織根中套用SCP的範例,以防止刪除 Amazon Connect 執行個體和相關角色:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Amazon Connect 偵測安全最佳實務

登入和監控對於聯絡中心的可用性、可靠性和效能來說至關重要。您應該記錄來自 Amazon Connect 流程的相關資訊, CloudWatch 並根據相同流程建置提醒和通知。

儘早定義日誌保留需求和生命週期原則,並計劃盡快將日誌檔移至具成本效益的儲存位置。Amazon Connect 公有APIs日誌至 CloudTrail。根據 CloudTrail 日誌檢閱和自動化動作。

我們建議使用 Amazon S3 來長期保留和存檔日誌資料,特別是對於具有需要以原生格式稽核日誌資料的合規計劃的組織而言。日誌資料位於 Amazon S3 儲存貯體之後,請定義生命週期規則,以自動強制執行保留政策,並將這些物件移至其他符合成本效益的儲存類別,例如 Amazon S3 標準 - 不常存取 (標準 - IA) 或 Amazon S3 Glacier。

AWS 雲端提供靈活的基礎設施和工具,以支援複雜的合作夥伴產品和自我管理的集中記錄解決方案。這包括 Amazon OpenSearch Service 和 Amazon CloudWatch Logs 等解決方案。

您可以根據您的需求自訂 Amazon Connect 流程,為傳入的聯絡實作詐騙偵測和預防。例如,您可以根據 Dynamo DB 中先前的聯繫人活動檢查傳入的聯絡,然後採取措施,例如斷開拒絕列表中的聯絡。

Amazon Connect Chat 安全最佳實務

當您直接與 Amazon Connect 參與者服務整合 (或使用 Amazon Connect Chat Java 指令碼程式庫),並使用 WebSocket 或串流端點接收前端應用程式或網站的訊息時,您必須保護您的應用程式免受 DOM型 XSS(跨網站指令碼) 攻擊。

下列安全建議有助於防範XSS攻擊:

  • 實作適當的輸出編碼,以協助防止惡意指令碼執行。

  • 請勿DOM直接靜音。例如,請勿使用 innerHTML 來轉譯聊天回應內容。它可能包含惡意 Javascript 程式碼,可能導致XSS攻擊。使用 React 之類的前端程式庫來逸出並清理聊天回應中包含的任何可執行程式碼。

  • 實作內容安全政策 (CSP),以限制應用程式可以從中載入指令碼、樣式和其他資源的來源。這增加了額外的保護層。