Amazon Connect 的安全最佳實務 - Amazon Connect
Amazon Connect 預防性安全最佳實務Amazon Connect 偵探安全最佳實踐Amazon Connect 聊天安全最佳實踐

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Connect 的安全最佳實務

在您開發和實作自己的安全政策時,可考慮使用 Amazon Connect 提供的多種安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。

Amazon Connect 預防性安全最佳實務

  • 請確保所有設定檔許可都盡可能受到限制。允許僅存取使用者角色絕對需要使用的資源。例如,請勿授與客服人員在 Amazon Connect 中建立、讀取或更新使用者的許可。

  • 確定透過 SAML 2.0 身分提供者或 Radius 伺服器 (端視何者更適用於您的使用案例) 設定 multi-factor authentication (MFA) 。設定 MFA 之後,Amazon Connect 登入頁面上會顯示第三個文字方塊,以提供第二個因素。

  • 如果您使用現有的目錄透過 AWS Directory Service 或 SAML 型驗證進行身分識別管理,請務必遵循適合您使用案例的所有安全性需求。

  • 在緊急情況下使用 AWS 主控台執行個體頁面上的 [登入以進行緊急存取] URL,而非日常使用。如需詳細資訊,請參閱 緊急管理員登入

使用服務控制原則 (SCP)

服務控制政策 (SCP) 是一種組織政策類型,可用來管理您的組織中的許可。SCP 會針對帳戶管理員可委派給受影響帳戶中使用者和角色的動作,定義防護機制或設定限制。您可以使用 SCP 來保護與 Amazon Connect 工作負載關聯的關鍵資源。

設定服務控制策略以防止刪除關鍵資源

如果您使用以 SAML 2.0 為基礎的身分驗證,並刪除用於驗證 Amazon Connect 使用者的 AWS IAM 角色,則使用者將無法登入 Amazon Connect 執行個體。您必須刪除並重新建立使用者,才能與新角色產生關聯。這會導致刪除與這些使用者相關的所有資料。

為了防止意外刪除關鍵資源並保護 Amazon Connect 執行個體的可用性,您可以將服務控制政策 (SCP) 設定為額外控制項。

以下是可在 AWS 帳戶、組織單位或組織根目錄套用的 SCP 範例,以防止刪除 Amazon Connect 執行個體和關聯的角色:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Amazon Connect 偵探安全最佳實踐

登入和監控對於聯絡中心的可用性、可靠性和效能來說至關重要。您應該從 Amazon Connect 流程記錄相關資訊, CloudWatch 並根據相同的資訊建立警示和通知。

儘早定義日誌保留需求和生命週期原則,並計劃盡快將日誌檔移至具成本效益的儲存位置。Amazon Connect 公共 API 日誌到 CloudTrail. 根據 CloudTrail 記錄檢閱並自動執行動作。

我們建議使用 Amazon S3 來長期保留和存檔日誌資料,特別是對於具有需要以原生格式稽核日誌資料的合規計劃的組織而言。日誌資料存放在 Amazon S3 儲存貯體後,請定義生命週期規則以自動強制執行保留政策,並將這些物件移至其他具成本效益的儲存類別,例如 Amazon S3 標準-不常存取 (標準-IA) 或 Amazon S3 Glacier。

AWS 雲端提供彈性的基礎架構和工具,以支援複雜的合作夥伴產品和自我管理的集中式記錄解決方案。這包括 Amazon OpenSearch 服務和 Amazon CloudWatch 日誌等解決方案。

您可以根據您的需求自訂 Amazon Connect 流程,為傳入的聯絡實作詐騙偵測和預防。例如,您可以根據 Dynamo DB 中先前的聯繫人活動檢查傳入的聯絡,然後採取措施,例如斷開拒絕列表中的聯絡。

Amazon Connect 聊天安全最佳實踐

當您直接與 Amazon Connect 參與者服務整合 (或使用 Amazon Connect Chat Java 指令碼程式庫),並使用 WebSocket 或串流端點接收前端應用程式或網站的訊息時,您必須保護您的應用程式免受 DOM 式 XSS (跨網站指令碼) 攻擊。

下列安全性建議可協助防範 XSS 攻擊:

  • 實作適當的輸出編碼,以協助防止惡意指令碼執行。

  • 不要直接改變 DOM。例如,請勿使用innerHTML來呈現聊天回應內容。它可能包含惡意的 Javascript 程式碼,這些程式碼可能會導致 XSS 攻擊。使用像 React 這樣的前端程式庫來逸出和清理聊天回應中包含的任何可執行程式碼。

  • 實作內容安全性原則 (CSP),以限制應用程式可載入指令碼、樣式和其他資源的來源。這增加了一層額外的保護。