Bewährte Methoden für die Sicherheit in Amazon Connect - Amazon Connect
Bewährte Methoden zur präventiven Sicherheit bei Amazon ConnectBewährte Sicherheitsmethoden für Amazon Connect DetectiveBewährte Sicherheitsmethoden für Amazon Connect Chat

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in Amazon Connect

Amazon Connect enthält eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Bewährte Methoden zur präventiven Sicherheit bei Amazon Connect

  • Stellen Sie sicher, dass alle Profilberechtigungen so restriktiv wie möglich sind. Erlauben Sie Zugriff nur auf die Ressourcen, die für die Rolle des Benutzers unbedingt erforderlich sind. Gewähren Sie den Kundendienstmitarbeitern beispielsweise keine Rechte zum Erstellen, Lesen oder Aktualisieren von Benutzern in Amazon Connect.

  • Stellen Sie sicher, dass die Multi-Faktor-Authentifizierung (MFA) über Ihren SAML 2.0-Identitätsanbieter oder Radius-Server eingerichtet ist, falls dies für Ihren Anwendungsfall besser geeignet ist. Nach der Einrichtung MFA wird auf der Amazon Connect Connect-Anmeldeseite ein drittes Textfeld angezeigt, das den zweiten Faktor angibt.

  • Wenn Sie ein vorhandenes Verzeichnis über AWS Directory Service oder SAML auf der Grundlage der Authentifizierung für die Identitätsverwaltung verwenden, stellen Sie sicher, dass Sie alle für Ihren Anwendungsfall geeigneten Sicherheitsanforderungen erfüllen.

  • Verwenden Sie die Option Für Notfallzugriff anmelden URL auf der Instanzseite der AWS Konsole nur in Notfallsituationen, nicht für den täglichen Gebrauch. Weitere Informationen finden Sie unter Notfall-Administratoranmeldung.

Verwenden Sie Richtlinien zur Dienststeuerung (SCPs)

Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. An SCP definiert eine Leitplanke oder legt Grenzwerte für die Aktionen fest, die der Administrator des Kontos an Benutzer und Rollen in den betroffenen Konten delegieren kann. Sie können SCPs es verwenden, um kritische Ressourcen zu schützen, die mit Ihrem Amazon Connect Connect-Workload verbunden sind.

Legen Sie eine Service-Kontrollrichtlinie-Richtlinie fest, um das Löschen kritischer Ressourcen zu verhindern

Wenn Sie die SAML 2.0-basierte Authentifizierung verwenden und die AWS IAM Rolle löschen, die für die Authentifizierung von Amazon Connect Connect-Benutzern verwendet wird, können sich Benutzer nicht bei der Amazon Connect-Instance anmelden. Sie müssen Benutzer löschen und neu erstellen, um sie einer neuen Rolle zuzuordnen. Dies führt zur Löschung aller mit diesen Benutzern verknüpften Daten.

Um das versehentliche Löschen kritischer Ressourcen zu verhindern und die Verfügbarkeit Ihrer Amazon Connect Connect-Instance zu schützen, können Sie eine Service Control Policy (SCP) als zusätzliche Kontrolle einrichten.

Im Folgenden finden Sie ein BeispielSCP, das auf das AWS Konto, die Organisationseinheit oder den Organisationsstamm angewendet werden kann, um das Löschen der Amazon Connect Connect-Instance und der zugehörigen Rolle zu verhindern:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Bewährte Sicherheitsmethoden für Amazon Connect Detective

Die Protokollierung und Überwachung sind wichtig, um die Zuverlässigkeit, Verfügbarkeit und Leistung des Kontaktcenters aufrechtzuerhalten. Sie sollten relevante Informationen aus Amazon Connect Connect-Datenströmen protokollieren CloudWatch und darauf basierende Warnmeldungen und Benachrichtigungen erstellen.

Definieren Sie frühzeitig Protokollaufbewahrungsanforderungen und Lebenszyklusrichtlinien und planen Sie ein, Protokolldateien bei der erstbesten Gelegenheit an kosteneffiziente Speicherorte zu verschieben. Öffentliches Amazon Connect APIs Connect-Protokoll mit CloudTrail. Überprüfen und automatisieren Sie Aktionen auf der Grundlage von CloudTrail Protokollen.

Wir empfehlen Amazon S3 für die langfristige Aufbewahrung und Archivierung von Protokolldaten, insbesondere für Unternehmen mit Compliance-Programmen, die voraussetzen, dass Protokolldaten in ihrem nativen Format geprüft werden können. Nachdem sich die Protokolldaten in einem Amazon S3-Bucket befinden, definieren Sie Lebenszyklusregeln, um Aufbewahrungsrichtlinien automatisch durchzusetzen, und verschieben Sie diese Objekte in andere, kostengünstige Speicherklassen wie Amazon S3 Standard — Infrequent Access (Standard — IA) oder Amazon S3 Glacier.

Die AWS Cloud bietet eine flexible Infrastruktur und Tools zur Unterstützung sowohl anspruchsvoller Partnerangebote als auch selbstverwalteter Lösungen für die zentrale Protokollierung. Dazu gehören Lösungen wie Amazon OpenSearch Service und Amazon CloudWatch Logs.

Sie können Betrugserkennung und -prävention für eingehende Kontakte implementieren, indem Sie die Amazon-Connect-Flows an Ihre Anforderungen anpassen. Sie können beispielsweise eingehende Kontakte mit früheren Kontaktaktivitäten in Dynamo DB vergleichen und dann Aktionen wie das Trennen eines Kontakts, der auf einer Sperrliste steht, ergreifen.

Bewährte Sicherheitsmethoden für Amazon Connect Chat

Wenn Sie direkt in den Amazon Connect Participant Service integrieren (oder die Amazon Connect Chat-Java-Script-Bibliothek verwenden) und Endpunkte verwenden WebSocket oder streamen, um Nachrichten für Ihre Frontend-Anwendungen oder Websites zu empfangen, müssen Sie Ihre Anwendung vor DOM basierten XSS (Cross-Site-Scripting-) Angriffen schützen.

Die folgenden Sicherheitsempfehlungen können zum Schutz vor Angriffen beitragen: XSS

  • Implementieren Sie die richtige Ausgabekodierung, um die Ausführung bösartiger Skripts zu verhindern.

  • Mutieren Sie nicht DOM direkt. Verwenden Sie es beispielsweise nicht innerHTML zum Rendern von Inhalten von Chat-Antworten. Es könnte bösartigen Javascript-Code enthalten, der zu einem XSS Angriff führen kann. Verwenden Sie Frontend-Bibliotheken wie React, um jeglichen ausführbaren Code, der in der Chat-Antwort enthalten ist, zu umgehen und zu bereinigen.

  • Implementieren Sie eine Inhaltssicherheitsrichtlinie (CSP), um die Quellen einzuschränken, aus denen Ihre Anwendung Skripts, Styles und andere Ressourcen laden kann. Dies fügt eine zusätzliche Schutzebene hinzu.