Práticas recomendadas de segurança para o Amazon Connect - Amazon Connect
Melhores práticas de segurança preventiva do Amazon ConnectMelhores práticas de segurança para detetives do Amazon ConnectMelhores práticas de segurança do Amazon Connect Chat

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de segurança para o Amazon Connect

O Amazon Connect fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas melhores práticas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.

Melhores práticas de segurança preventiva do Amazon Connect

  • Garanta que todas as permissões de perfil sejam o mais restritivas possível. Permita acesso apenas aos recursos absolutamente necessários para a função do usuário. Por exemplo, não conceda permissões aos atendentes para criar, ler ou atualizar usuários no Amazon Connect.

  • Verifique se a autenticação multifator (MFA) está configurada por meio do provedor de identidade SAML 2.0 ou do servidor Radius, se for mais aplicável ao seu caso de uso. Depois que a MFA é configurada, uma terceira caixa de texto fica visível na página de login do Amazon Connect para fornecer o segundo fator.

  • Se você usa um diretório existente por meio AWS Directory Service de autenticação baseada em SAML para gerenciamento de identidades, certifique-se de seguir todos os requisitos de segurança apropriados para seu caso de uso.

  • Use o URL de login para acesso de emergência na página da instância do AWS console somente em situações de emergência, não para uso diário. Para ter mais informações, consulte Login de emergência do administrador.

Use políticas de controle de serviço (SCPs)

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. Uma SCP define uma barreira de proteção, ou define limites, nas ações que o administrador da conta pode delegar a usuários e funções nas contas afetadas. Você pode usar SCPs para proteger recursos essenciais associados à workload do Amazon Connect.

Definir uma política de controle de serviços para evitar a exclusão de recursos essenciais

Se você estiver usando a autenticação baseada em SAML 2.0 e excluir a função do AWS IAM usada para autenticar usuários do Amazon Connect, os usuários não conseguirão fazer login na instância do Amazon Connect. Você precisará excluir e recriar os usuários a serem associados a um novo perfil. Isso resulta na exclusão de todos os dados associados a esses usuários.

Para evitar a exclusão acidental de recursos essenciais e proteger a disponibilidade da instância do Amazon Connect, você pode definir uma política de controle de serviços (SCP) como um controle adicional.

Veja a seguir um exemplo de SCP que pode ser aplicado na AWS conta, na unidade organizacional ou na raiz organizacional para evitar a exclusão da instância do Amazon Connect e da função associada:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Melhores práticas de segurança para detetives do Amazon Connect

O registro em log e o monitoramento são importantes para a confiabilidade, a disponibilidade e o desempenho da central de atendimento. Você deve registrar informações relevantes dos fluxos do Amazon Connect CloudWatch e criar alertas e notificações com base nos mesmos.

Defina os requisitos de retenção de logs e as políticas de ciclo de vida desde o início e prepare-se para mover os arquivos de log para locais de armazenamento econômicos assim que possível. As APIs públicas do Amazon Connect fazem login em CloudTrail. Revise e automatize ações com base em CloudTrail registros.

Recomendamos o Amazon S3 para retenção e arquivamento de dados de log de longo prazo, especialmente para organizações com programas de conformidade que exigem que os dados de log sejam auditáveis em seu formato nativo. Depois que os dados de log estiverem em um bucket do Amazon S3, defina regras de ciclo de vida para aplicar automaticamente as políticas de retenção e mover esses objetos para outras classes de armazenamento econômicas, como Amazon S3 Standard - Infrequent Access (Standard - IA) ou Amazon S3 Glacier.

A AWS nuvem fornece infraestrutura e ferramentas flexíveis para suportar ofertas sofisticadas de parceiros e soluções autogerenciadas de registro centralizado. Isso inclui soluções como Amazon OpenSearch Service e Amazon CloudWatch Logs.

Você pode implementar a detecção e a prevenção de fraudes para contatos recebidos personalizando os fluxos do Amazon Connect de acordo com suas necessidades. Por exemplo, você pode comparar contatos recebidos com relação a atividades de contatos anteriores no Dynamo DB e, em seguida, tomar medidas como desconectar um contato que está em uma lista de negação.

Melhores práticas de segurança do Amazon Connect Chat

Quando você se integra diretamente ao Amazon Connect Participant Service (ou usa a biblioteca Java Script do Amazon Connect Chat) e usa WebSocket ou transmite endpoints para receber mensagens para seus aplicativos front-end ou sites, você deve proteger seu aplicativo contra ataques XSS (cross-site scripting) baseados em DOM.

As recomendações de segurança a seguir podem ajudar na proteção contra ataques XSS:

  • Implemente a codificação de saída adequada para ajudar a impedir a execução de scripts maliciosos.

  • Não altere o DOM diretamente. Por exemplo, não use innerHTML para renderizar o conteúdo das respostas do chat. Ele pode conter código Javascript malicioso que pode levar a um ataque XSS. Use bibliotecas de front-end como o React para escapar e limpar qualquer código executável incluído na resposta do bate-papo.

  • Implemente uma Política de Segurança de Conteúdo (CSP) para restringir as fontes das quais seu aplicativo pode carregar scripts, estilos e outros recursos. Isso adiciona uma camada extra de proteção.