Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas de seguridad para Connect Customer
Connect Customer proporciona una serie de funciones de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.
Contenido
Mejores prácticas de seguridad preventiva de Connect Customer
-
Asegúrese de que todos los permisos de perfil sean lo más restrictivos posible. Permita el acceso solo a los recursos absolutamente necesarios para el rol del usuario. Por ejemplo, no dé a los agentes permisos para crear, leer o actualizar usuarios en Connect Customer.
-
Asegúrese de que la autenticación multifactor (MFA) esté configurada a través del proveedor de identidades SAML 2.0 o del servidor Radius, si se aplica más a su caso de uso. Una vez configurada la MFA, aparece un tercer cuadro de texto en la página de inicio de sesión de Connect Customer para proporcionar el segundo factor.
-
Si utiliza un directorio existente Directory Service o la SAML-based autenticación para la administración de identidades, asegúrese de cumplir con todos los requisitos de seguridad adecuados para su caso de uso.
-
Utilice la URL de inicio de sesión para el acceso de emergencia que aparece en la página de instancias de la AWS consola solo en situaciones de emergencia, no para el uso diario. Para obtener más información, consulte Inicio de sesión de emergencia en el sitio web de administración de Connect Customer.
Uso de políticas de control de servicio (SCP)
Las políticas de control de servicio (SCP) son un tipo de política de la organización que puede utilizar para administrar los permisos de la organización. Un SCP define una barrera de protección o establece límites a las acciones que el administrador de la cuenta puede delegar en los usuarios y roles de las cuentas afectadas. Puede usar los SCP para proteger los recursos críticos asociados a su carga de trabajo de Connect Customer.
Establecimiento de una política de control de servicio para evitar que se eliminen recursos críticos
Si utilizas la autenticación basada en SAML 2.0 y eliminas el rol de AWS IAM que se usa para autenticar a los usuarios de Connect Customer, los usuarios no podrán iniciar sesión en la instancia de Connect Customer. Tendrá que eliminar y volver a crear usuarios para asociarlos a un nuevo rol. El resultado es la eliminación de todos los datos asociados a esos usuarios.
Para evitar la eliminación accidental de recursos críticos y proteger la disponibilidad de su instancia de Connect Customer, puede establecer una política de control de servicios (SCP) como control adicional.
A continuación se muestra un ejemplo de SCP que se puede aplicar en la AWS cuenta, la unidad organizativa o la raíz organizativa para evitar que se eliminen la instancia de Connect Customer y el rol asociado:
Mejores prácticas de seguridad de Connect Customer Detective
El registro y el monitoreo son importantes para la disponibilidad, la fiabilidad y el rendimiento del centro de contacto. Debe registrar la información relevante de los flujos de clientes de Connect CloudWatch y crear alertas y notificaciones basadas en ella.
Defina los requisitos de retención de registros y las políticas de ciclo de vida desde el principio, y planificar el traslado de los archivos de registro a ubicaciones de almacenamiento rentables tan pronto como sea práctico. Connect Customer Public API log to CloudTrail; para obtener más información, consulteRegistre las llamadas de la API de cliente de Connect con AWS CloudTrail. Revise y automatice las acciones en función de CloudTrail los registros.
Recomendamos Amazon S3 para la retención a largo plazo y el archivo de datos de registro, especialmente para las organizaciones con programas de conformidad que requieren que los datos de registro sean auditables en su formato nativo. Cuando los datos de registro se encuentren en un bucket de Amazon S3, defina las reglas del ciclo de vida para aplicar automáticamente las políticas de retención y traslade estos objetos a otras clases de almacenamiento rentables, como Amazon S3 Standard - Infrequent Access (Standard - IA) o Amazon Glacier.
La AWS nube proporciona una infraestructura y herramientas flexibles para respaldar tanto las sofisticadas ofertas de los socios como las soluciones de registro centralizado autogestionadas. Esto incluye soluciones como Amazon OpenSearch Service y Amazon CloudWatch Logs.
Puede implementar la detección y prevención del fraude para los contactos entrantes personalizando los flujos de Connect Customer según sus necesidades. Por ejemplo, puede comparar los contactos entrantes con la actividad previa de los contactos en la base de datos de Dynamo y, a continuación, tomar medidas como desconectar a un contacto que esté en una lista de denegados.
Mejores prácticas de seguridad de Connect Customer Chat
Cuando se integra directamente con el servicio Connect Customer Participant Service (o utiliza la biblioteca de scripts Java Connect Customer Chat) y utiliza WebSocket o transmite puntos finales para recibir mensajes para sus aplicaciones frontend o sitios web, debe proteger su aplicación de los ataques DOM-based XSS (secuencias de comandos entre sitios).
Las siguientes recomendaciones de seguridad pueden ayudarle a protegerse frente a los ataques XSS:
-
Implemente una codificación de salida adecuada para evitar la ejecución de scripts malintencionados.
-
No mute el DOM directamente. Por ejemplo, no utilice
innerHTMLpara renderizar el contenido de las respuestas del chat. Puede contener código JavaScript malicioso que puede provocar un ataque XSS. Utilice bibliotecas de frontend como React para escapar y desinfectar cualquier código ejecutable incluido en la respuesta del chat. -
Implemente una política de seguridad de contenido (CSP) para restringir las fuentes desde las que su aplicación puede cargar scripts, estilos y otros recursos. Esto agrega una capa adicional de protección.
Mejores prácticas de seguridad de WebRTC para clientes de Connect
Tanto para los contactos de WebRTC como para los de chat, los participantes reciben un token de participante, que es un token portador que los identifica de forma única dentro de una sesión de contacto. Dado que con este token se obtiene acceso, el riego de exposición puede provocar ataques de suplantación de identidad. Por lo tanto, es esencial proteger este token.
Las siguientes recomendaciones de seguridad pueden ayudarle a protegerse frente a los ataques de suplantación de identidad:
-
Autentique a los usuarios antes de emitir el token. Asegúrese de realizar comprobaciones sólidas de autenticación y autorización antes de otorgar un token de participante a cualquier cliente o servicio externo.
-
Minimice la exposición de los tokens. No registre los tokens de los participantes ni los incruste en las URL. Utilice secure transport (HTTPS/TLS) para todos los intercambios de fichas.
-
Responda rápidamente a las filtraciones de tokens. Si se detecta una filtración de un token, interrumpa o detenga inmediatamente el contacto asociado para evitar todo acceso no autorizado.
-
Aplique los principios de privilegios mínimos. Limite la vida útil de los tokens siempre que sea posible, asegurándose de que sean válidos solo durante el tiempo necesario.
-
Supervise y audite. Realice un seguimiento de los patrones de acceso y uso de los tokens para detectar anomalías o posibles usos indebidos.