View a markdown version of this page

Praktik Terbaik Keamanan untuk Connect Customer - Pelanggan Amazon Connect
Praktik terbaik keamanan preventif Connect CustomerPraktik terbaik keamanan detektif Connect CustomerPraktik terbaik keamanan Connect Customer ChatPraktik terbaik keamanan WebRTC Connect Customer

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik Keamanan untuk Connect Customer

Connect Customer menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap sebagai pertimbangan yang membantu dan bukan sebagai resep.

Praktik terbaik keamanan preventif Connect Customer

  • Pastikan bahwa semua izin profil seketat mungkin. Izinkan akses hanya ke sumber daya yang benar-benar diperlukan untuk peran pengguna. Misalnya, jangan berikan izin agen untuk membuat, membaca, atau memperbarui pengguna di Connect Customer.

  • Pastikan otentikasi multi-faktor (MFA) diatur melalui penyedia identitas SAMP 2.0 Anda, atau server Radius, jika itu lebih berlaku untuk kasus penggunaan Anda. Setelah MFA diatur, kotak teks ketiga akan terlihat di halaman login Connect Customer untuk memberikan faktor kedua.

  • Jika Anda menggunakan direktori yang ada melalui Directory Service atau SAML-based otentikasi untuk manajemen identitas, pastikan bahwa Anda mengikuti semua persyaratan keamanan yang sesuai untuk kasus penggunaan Anda.

  • Gunakan URL Masuk untuk akses darurat di halaman instans AWS konsol hanya dalam situasi darurat, bukan untuk penggunaan sehari-hari. Untuk informasi selengkapnya, lihat Login darurat ke situs web admin Connect Customer.

Gunakan kebijakan kontrol layanan (SCP)

Kebijakan kontrol layanan (SCP) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin dalam organisasi Anda. SCP mendefinisikan pagar pembatas, atau menetapkan batasan, pada tindakan yang dapat didelegasikan oleh administrator akun kepada pengguna dan peran di akun yang terpengaruh. Anda dapat menggunakan SCP untuk melindungi sumber daya penting yang terkait dengan beban kerja Connect Customer Anda.

Menetapkan Kebijakan Kontrol Layanan untuk mencegah penghapusan sumber daya penting

Jika Anda menggunakan autentikasi berbasis SAMP 2.0 dan menghapus Peran AWS IAM yang digunakan untuk mengautentikasi pengguna Connect Customer, pengguna tidak akan dapat masuk ke instans Connect Customer. Anda harus menghapus dan membuat ulang pengguna untuk dikaitkan dengan Peran baru. Ini menghasilkan penghapusan semua data yang terkait dengan pengguna tersebut.

Untuk mencegah penghapusan sumber daya penting secara tidak sengaja dan untuk melindungi ketersediaan instans Connect Customer, Anda dapat menetapkan Kebijakan Kontrol Layanan (SCP) sebagai kontrol tambahan.

Berikut ini adalah contoh SCP yang dapat diterapkan di AWS Akun, Unit Organisasi, atau Root Organisasi untuk mencegah penghapusan instance Connect Customer dan Peran terkait:

JSON
{    
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/ConnectUserRole"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
         "arn:aws:connect:us-east-1:111122223333:instance/InstanceId"
      ]
    }
  ]
}

Praktik terbaik keamanan detektif Connect Customer

Pencatatan dan pemantauan penting untuk ketersediaan, keandalan, dan kinerja pusat kontak. Anda harus mencatat informasi yang relevan dari Connect Customer flow ke CloudWatch dan membuat peringatan dan notifikasi berdasarkan hal yang sama.

Tentukan persyaratan penyimpanan log dan kebijakan siklus hidup sejak dini, dan rencanakan untuk memindahkan file log ke lokasi penyimpanan yang hemat biaya sesegera mungkin. Connect Customer public API log ke CloudTrail; untuk informasi selengkapnya, lihatLog Connect panggilan API Pelanggan dengan AWS CloudTrail. Tinjau dan otomatiskan tindakan berdasarkan CloudTrail log.

Kami merekomendasikan Amazon S3 untuk penyimpanan jangka panjang dan pengarsipan data log, terutama untuk organisasi dengan program kepatuhan yang mengharuskan data log dapat diaudit dalam format aslinya. Setelah data log berada di bucket Amazon S3, tentukan aturan siklus hidup untuk secara otomatis menerapkan kebijakan retensi dan memindahkan objek ini ke kelas penyimpanan lain yang hemat biaya, seperti Standar Amazon S3 - Akses Jarang (Standar - IA) atau Amazon Glacier.

AWS Cloud menyediakan infrastruktur dan alat yang fleksibel untuk mendukung penawaran mitra yang canggih dan solusi pencatatan terpusat yang dikelola sendiri. Ini termasuk solusi seperti Amazon OpenSearch Service dan Amazon CloudWatch Logs.

Anda dapat menerapkan deteksi dan pencegahan penipuan untuk kontak yang masuk dengan menyesuaikan alur Connect Customer sesuai kebutuhan Anda. Misalnya, Anda dapat memeriksa kontak masuk terhadap aktivitas kontak sebelumnya di Dynamo DB dan kemudian mengambil tindakan seperti memutuskan kontak yang ada di daftar penolakan.

Praktik terbaik keamanan Connect Customer Chat

Bila Anda berintegrasi dengan Connect Customer Participant Service secara langsung (atau menggunakan pustaka Connect Customer Chat Java Script) dan menggunakan WebSocket atau streaming endpoint untuk menerima pesan untuk aplikasi atau situs web frontend Anda, Anda harus melindungi aplikasi Anda dari serangan DOM-based XSS (cross-site scripting).

Rekomendasi keamanan berikut dapat membantu melindungi terhadap serangan XSS:

  • Menerapkan pengkodean keluaran yang tepat untuk membantu mencegah skrip berbahaya dieksekusi.

  • Jangan bermutasi DOM secara langsung. Misalnya, jangan gunakan innerHTML untuk merender konten respons obrolan. Ini mungkin berisi kode Javascript berbahaya yang dapat menyebabkan serangan XSS. Gunakan pustaka frontend seperti React untuk melarikan diri dan membersihkan kode yang dapat dieksekusi yang disertakan dalam respons obrolan.

  • Menerapkan Kebijakan Keamanan Konten (CSP) untuk membatasi sumber dari mana aplikasi Anda dapat memuat skrip, gaya, dan sumber daya lainnya. Ini menambahkan lapisan perlindungan ekstra.

Praktik terbaik keamanan WebRTC Connect Customer

Untuk kontak WebRTC dan obrolan, peserta diberikan Token Peserta, yang merupakan token pembawa yang secara unik mengidentifikasi mereka dalam sesi kontak. Karena kepemilikan token ini memberikan akses, eksposurnya dapat menyebabkan serangan peniruan identitas. Oleh karena itu, melindungi token ini sangat penting.

Rekomendasi keamanan berikut dapat membantu melindungi terhadap serangan peniruan identitas:

  • Otentikasi pengguna sebelum penerbitan token. Pastikan pemeriksaan otentikasi dan otorisasi yang kuat dilakukan sebelum menjual token peserta ke klien atau layanan eksternal mana pun.

  • Minimalkan eksposur token. Jangan mencatat token peserta atau menyematkannya di URL. Gunakan transport aman (HTTPS/TLS) untuk semua pertukaran token..

  • Menanggapi kebocoran token dengan cepat. Jika kebocoran token terdeteksi, segera hentikan atau hentikan kontak terkait untuk mencegah akses yang tidak sah.

  • Gunakan prinsip hak istimewa paling sedikit. Batasi masa pakai token sedapat mungkin, pastikan token hanya valid selama durasi yang diperlukan.

  • Monitor dan audit. Lacak penggunaan token dan pola akses untuk mendeteksi anomali atau potensi penyalahgunaan.