Bewährte Methoden für die Sicherheit in Amazon Connect - Amazon Connect

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in Amazon Connect

Amazon Connect enthält eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Bewährte Methoden zur präventiven Sicherheit bei Amazon Connect

  • Stellen Sie sicher, dass alle Profilberechtigungen so restriktiv wie möglich sind. Erlauben Sie Zugriff nur auf die Ressourcen, die für die Rolle des Benutzers unbedingt erforderlich sind. Gewähren Sie den Kundendienstmitarbeitern beispielsweise keine Rechte zum Erstellen, Lesen oder Aktualisieren von Benutzern in Amazon Connect.

  • Stellen Sie sicher, dass die Multi-Factor Authentication (MFA) über den SAML 2.0-Identitätsanbieter oder den Radius-Server eingerichtet ist, falls dies für den Anwendungsfall geeigneter ist. Nachdem die MFA eingerichtet wurde, wird für die Eingabe des zweiten Faktors ein drittes Textfeld auf der Amazon-Connect-Anmeldeseite angezeigt.

  • Wenn Sie ein vorhandenes Verzeichnis über AWS Directory Service oder SAML-basierte Authentifizierung für die Identitätsverwaltung verwenden, stellen Sie sicher, dass Sie alle für Ihren Anwendungsfall geeigneten Sicherheitsanforderungen erfüllen.

  • Verwenden Sie die URL „Für Notfallzugriff anmelden“ auf der Instanzseite der AWS Konsole nur in Notfallsituationen, nicht für den täglichen Gebrauch. Weitere Informationen finden Sie unter Notfall-Administratoranmeldung.

Verwenden Sie Service Control Policies (SCPs)

Service-Kontrollrichtlinien (Service Control Policies, SCPs) sind eine Art von Organisationsrichtlinien, die Sie zum Verwalten von Berechtigungen in Ihrer Organisation verwenden können. Eine SCP definiert oder legt Beschränkungen für die Aktionen fest, die der Administrator des Kontos an Benutzer und Rollen in den betroffenen Konten delegieren kann. Sie können SCPs verwenden, um kritische Ressourcen zu schützen, die mit Ihrem Amazon-Connect-Workload verbunden sind.

Legen Sie eine Service-Kontrollrichtlinie-Richtlinie fest, um das Löschen kritischer Ressourcen zu verhindern

Wenn Sie die SAML 2.0-basierte Authentifizierung verwenden und die AWS IAM-Rolle löschen, die für die Authentifizierung von Amazon Connect Connect-Benutzern verwendet wird, können sich Benutzer nicht bei der Amazon Connect-Instance anmelden. Sie müssen Benutzer löschen und neu erstellen, um sie einer neuen Rolle zuzuordnen. Dies führt zur Löschung aller mit diesen Benutzern verknüpften Daten.

Um das versehentliche Löschen kritischer Ressourcen zu verhindern und die Verfügbarkeit Ihrer Amazon-Connect-Instance zu schützen, können Sie eine Service-Kontrollrichtlinie (SCP) als zusätzliche Kontrolle einrichten.

Im Folgenden finden Sie ein Beispiel für ein SCP, das auf das AWS Konto, die Organisationseinheit oder den Organisationsstamm angewendet werden kann, um das Löschen der Amazon Connect Connect-Instance und der zugehörigen Rolle zu verhindern:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonConnectRoleDenyDeletion", "Effect": "Deny", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/Amazon Connect user role" ] }, { "Sid": "AmazonConnectInstanceDenyDeletion", "Effect": "Deny", "Action": [ "connect:DeleteInstance" ], "Resource": [ "Amazon Connect instance ARN" ] } ] }

Bewährte Sicherheitsmethoden für Amazon Connect Detective

Die Protokollierung und Überwachung sind wichtig, um die Zuverlässigkeit, Verfügbarkeit und Leistung des Kontaktcenters aufrechtzuerhalten. Sie sollten relevante Informationen aus Amazon Connect Connect-Datenströmen protokollieren CloudWatch und darauf basierende Warnmeldungen und Benachrichtigungen erstellen.

Definieren Sie frühzeitig Protokollaufbewahrungsanforderungen und Lebenszyklusrichtlinien und planen Sie ein, Protokolldateien bei der erstbesten Gelegenheit an kosteneffiziente Speicherorte zu verschieben. Öffentliche Amazon Connect Connect-APIs melden sich an CloudTrail. Überprüfen und automatisieren Sie Aktionen auf der Grundlage von CloudTrail Protokollen.

Wir empfehlen Amazon S3 für die langfristige Aufbewahrung und Archivierung von Protokolldaten, insbesondere für Unternehmen mit Compliance-Programmen, die voraussetzen, dass Protokolldaten in ihrem nativen Format geprüft werden können. Nachdem sich die Protokolldaten in einem Amazon S3-Bucket befinden, definieren Sie Lebenszyklusregeln, um Aufbewahrungsrichtlinien automatisch durchzusetzen, und verschieben Sie diese Objekte in andere, kostengünstige Speicherklassen wie Amazon S3 Standard — Infrequent Access (Standard — IA) oder Amazon S3 Glacier.

Die AWS Cloud bietet eine flexible Infrastruktur und Tools zur Unterstützung sowohl anspruchsvoller Partnerangebote als auch selbstverwalteter Lösungen für die zentrale Protokollierung. Dazu gehören Lösungen wie Amazon OpenSearch Service und Amazon CloudWatch Logs.

Sie können Betrugserkennung und -prävention für eingehende Kontakte implementieren, indem Sie die Amazon-Connect-Flows an Ihre Anforderungen anpassen. Sie können beispielsweise eingehende Kontakte mit früheren Kontaktaktivitäten in Dynamo DB vergleichen und dann Aktionen wie das Trennen eines Kontakts, der auf einer Sperrliste steht, ergreifen.

Bewährte Sicherheitsmethoden für Amazon Connect Chat

Wenn Sie direkt in den Amazon Connect Participant Service integrieren (oder die Amazon Connect Chat-Java-Script-Bibliothek verwenden) und Endpunkte verwenden WebSocket oder streamen, um Nachrichten für Ihre Frontend-Anwendungen oder Websites zu empfangen, müssen Sie Ihre Anwendung vor DOM-basierten XSS-Angriffen (Cross-Site Scripting) schützen.

Die folgenden Sicherheitsempfehlungen können zum Schutz vor XSS-Angriffen beitragen:

  • Implementieren Sie die richtige Ausgabekodierung, um die Ausführung bösartiger Skripts zu verhindern.

  • Mutieren Sie DOM nicht direkt. Verwenden Sie es beispielsweise nicht innerHTML zum Rendern von Inhalten von Chat-Antworten. Es könnte bösartigen Javascript-Code enthalten, der zu einem XSS-Angriff führen kann. Verwenden Sie Frontend-Bibliotheken wie React, um jeglichen ausführbaren Code, der in der Chat-Antwort enthalten ist, zu umgehen und zu bereinigen.

  • Implementieren Sie eine Content Security Policy (CSP), um die Quellen einzuschränken, aus denen Ihre Anwendung Skripts, Styles und andere Ressourcen laden kann. Dies fügt eine zusätzliche Schutzebene hinzu.