Amazon Connect의 보안 모범 사례 - Amazon Connect
Amazon Connect 예방적 보안 모범 사례Amazon Connect 탐정 보안 모범 사례아마존 커넥트 챗 보안 모범 사례

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect의 보안 모범 사례

Amazon Connect는 사용자가 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용하십시오.

Amazon Connect 예방적 보안 모범 사례

  • 모든 프로필 권한이 최대한 제한적인지 확인합니다. 사용자의 역할에 절대적으로 필요한 리소스에 대한 액세스를 허용합니다. 예를 들어, Amazon Connect에서 사용자를 생성하거나 읽거나 업데이트할 수 있는 권한을 에이전트에 부여하지 마세요.

  • 사용 사례에 더 적합한 경우 SAML 2.0 자격 증명 공급자 또는 Radius 서버를 통해 멀티 팩터 인증(MFA)을 설정해야 합니다. MFA를 설정한 후에는 두 번째 요소를 제공하기 위한 세 번째 텍스트 상자가 Amazon Connect 로그인 페이지에 표시됩니다.

  • ID 관리를 위해 기존 디렉터리를 AWS Directory Service 사용하거나 SAML 기반 인증을 사용하는 경우 사용 사례에 적합한 모든 보안 요구 사항을 준수해야 합니다.

  • AWS 콘솔의 인스턴스 페이지에 있는 긴급 액세스 로그인 URL은 일상적인 사용이 아닌 긴급 상황에서만 사용하십시오. 자세한 정보는 긴급 관리자 로그인을 참조하세요.

서비스 제어 정책 (SCP) 사용

서비스 제어 정책(SCP)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 계정 관리자가 영향을 받는 계정의 사용자 및 역할에 위임할 수 있는 작업에 대해 권한 범위를 정의하거나 제한을 설정합니다. SCP를 사용하여 Amazon Connect 워크로드와 관련된 중요한 리소스를 보호할 수 있습니다.

중요한 리소스가 삭제되지 않도록 서비스 제어 정책 설정

SAML 2.0 기반 인증을 사용하고 Amazon Connect 사용자를 인증하는 데 사용되는 AWS IAM 역할을 삭제하는 경우 사용자는 Amazon Connect 인스턴스에 로그인할 수 없습니다. 새 역할에 연결하려면 사용자를 삭제하고 다시 만들어야 합니다. 이렇게 하면 해당 사용자와 관련된 모든 데이터가 삭제됩니다.

중요한 리소스의 실수로 삭제되는 것을 방지하고 Amazon Connect 인스턴스의 가용성을 보호하기 위해 서비스 제어 정책(SCP)을 추가 제어로 설정할 수 있습니다.

다음은 Amazon Connect 인스턴스 및 관련 역할의 삭제를 방지하기 위해 AWS 계정, 조직 구성 단위 또는 조직 루트에 적용할 수 있는 예제 SCP입니다.

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Amazon Connect 탐정 보안 모범 사례

로깅 및 모니터링은 고객 센터의 가용성, 안정성 및 성능에 중요합니다. Amazon Connect 플로우에서 관련 정보를 기록하고 이를 CloudWatch 기반으로 알림 및 알림을 생성해야 합니다.

로그 보존 요구 사항 및 수명 주기 정책을 조기에 정의하고, 가능한 한 빨리 로그 파일을 비용 효율적인 스토리지 위치로 옮길 계획을 세워야 합니다. Amazon Connect 퍼블릭 API에 로그인합니다. CloudTrail CloudTrail 로그를 기반으로 작업을 검토하고 자동화합니다.

특히 로그 데이터를 기본 형식으로 감사할 수 있어야 하는 규정 준수 프로그램을 운영하는 조직의 경우 로그 데이터의 장기 보존 및 아카이빙을 위해 Amazon S3를 권장합니다. 로그 데이터가 Amazon S3 버킷에 저장되면 보관 정책을 자동으로 적용하도록 수명 주기 규칙을 정의하고 이러한 객체를 Amazon S3 Standard - Inquent Access (Standard - IA) 또는 Amazon S3 Glacier와 같은 비용 효율적인 다른 스토리지 클래스로 이동합니다.

AWS 클라우드는 정교한 파트너 오퍼링과 자체 관리형 중앙 로깅 솔루션을 모두 지원하는 유연한 인프라와 도구를 제공합니다. 여기에는 아마존 OpenSearch 서비스 및 아마존 CloudWatch 로그와 같은 솔루션이 포함됩니다.

요구 사항에 따라 Amazon Connect 흐름을 사용자 지정하여 수신 고객 응대에 대한 사기 탐지 및 방지를 구현할 수 있습니다. 예를 들어 수신 고객 응대를 Dynamo DB의 이전 고객 응대 활동과 비교하여 확인한 다음 거부 목록에 있는 고객 응대 연결을 끊는 등의 조치를 취할 수 있습니다.

아마존 커넥트 챗 보안 모범 사례

Amazon Connect 참가자 서비스와 직접 통합하거나 Amazon Connect Chat Java 스크립트 라이브러리를 사용하고 엔드포인트를 사용하거나 스트리밍하여 프런트엔드 애플리케이션 WebSocket 또는 웹 사이트에 보낼 메시지를 수신하는 경우, DOM 기반 XSS (크로스 사이트 스크립팅) 공격으로부터 애플리케이션을 보호해야 합니다.

다음 보안 권장 사항은 XSS 공격으로부터 보호하는 데 도움이 될 수 있습니다.

  • 적절한 출력 인코딩을 구현하여 악성 스크립트가 실행되지 않도록 하세요.

  • DOM을 직접 변경하지 마세요. 예를 들어 채팅 응답 콘텐츠를 innerHTML 렌더링하는 데 사용하지 마세요. XSS 공격으로 이어질 수 있는 악성 자바스크립트 코드가 포함되어 있을 수 있습니다. React와 같은 프론트엔드 라이브러리를 사용하여 채팅 응답에 포함된 실행 코드를 이스케이프하고 삭제하세요.

  • 콘텐츠 보안 정책 (CSP) 을 구현하여 애플리케이션이 스크립트, 스타일 및 기타 리소스를 로드할 수 있는 소스를 제한하세요. 이렇게 하면 보호 계층이 한층 더 강화됩니다.