View a markdown version of this page

Best practice di sicurezza per Connect Customer - Cliente Amazon Connect
Best practice di sicurezza preventiva di Connect CustomerConnect Customer: best practice per la sicurezza investigativaBest practice per la sicurezza di Connect Customer ChatBest practice di sicurezza Connect Customer WebRTC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per Connect Customer

Connect Customer offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Dato che queste best practice potrebbero non essere appropriate o sufficienti nel proprio ambiente, si considerino come riflessioni utili più che istruzioni.

Best practice di sicurezza preventiva di Connect Customer

  • Assicurati che tutte le autorizzazioni dei profili siano il più restrittive possibile. Consenti l'accesso solo alle risorse assolutamente necessarie per il ruolo dell'utente. Ad esempio, non concedere agli agenti le autorizzazioni per creare, leggere o aggiornare utenti in Connect Customer.

  • Assicurati che l'autenticazione Multi-Factor Authentication (MFA) sia impostata tramite il provider di identità SAML 2.0 o il server Radius, se è più adatta al tuo caso d'uso. Dopo aver configurato la MFA, nella pagina di accesso di Connect Customer diventa visibile una terza casella di testo per fornire il secondo fattore.

  • Se utilizzi una directory esistente Directory Service o SAML-based l'autenticazione per la gestione delle identità, assicurati di rispettare tutti i requisiti di sicurezza appropriati per il tuo caso d'uso.

  • Utilizza l'URL di accesso per l'accesso di emergenza nella pagina dell'istanza della AWS console solo in situazioni di emergenza, non per l'uso quotidiano. Per ulteriori informazioni, consulta Accesso di emergenza al sito Web di amministrazione di Connect Customer.

Utilizzo delle policy di controllo dei servizi (SCP)

Le policy di controllo dei servizi (SCP) sono un tipo di policy dell'organizzazione che puoi utilizzare per gestire le autorizzazioni nell'organizzazione. Una SCP definisce un guardrail (barriera protettiva), o imposta dei limiti, sulle azioni che l'amministratore dell'account può delegare ai ruoli e agli utenti negli account interessati. Puoi utilizzare gli SCP per proteggere le risorse critiche associate al carico di lavoro Connect Customer.

Impostazione di una policy di controllo dei servizi per impedire l'eliminazione di risorse critiche

Se utilizzi l'autenticazione basata su SAML 2.0 ed elimini il ruolo AWS IAM utilizzato per autenticare gli utenti Connect Customer, gli utenti non saranno in grado di accedere all'istanza Connect Customer. Dovrai eliminare e ricreare gli utenti da associare a un nuovo ruolo. Ciò comporta l'eliminazione di tutti i dati associati a tali utenti.

Per evitare l'eliminazione accidentale di risorse critiche e proteggere la disponibilità dell'istanza Connect Customer, puoi impostare una Service Control Policy (SCP) come controllo aggiuntivo.

Di seguito è riportato un esempio di SCP che può essere applicato all' AWS account, all'unità organizzativa o alla radice organizzativa per impedire l'eliminazione dell'istanza Connect Customer e del ruolo associato:

JSON
{    
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/ConnectUserRole"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
         "arn:aws:connect:us-east-1:111122223333:instance/InstanceId"
      ]
    }
  ]
}

Connect Customer: best practice per la sicurezza investigativa

La registrazione di log e il monitoraggio sono importanti per garantire l'affidabilità, la disponibilità e le prestazioni del contact center. È necessario registrare le informazioni pertinenti dai flussi Connect Customer CloudWatch e creare avvisi e notifiche basati su di esse.

Definisci in anticipo i requisiti di conservazione dei log e le policy relative al ciclo di vita e pianifica lo spostamento dei file di log in posizioni di archiviazione più economiche non appena possibile. Accedi alle API pubbliche di Connect Customer CloudTrail; per ulteriori informazioni, consultaRegistra le chiamate API Connect Customer con AWS CloudTrail. Rivedi e automatizza le azioni in base ai log. CloudTrail

Amazon S3 è la scelta consigliata per la conservazione e l'archiviazione a lungo termine dei dati di log, in particolare per le organizzazioni con programmi di conformità che richiedono che i dati di log siano verificabili nel loro formato nativo. Dopo aver collocato i dati di log in un bucket Amazon S3, definisci le regole del ciclo di vita per imporre automaticamente le policy di conservazione e sposta questi oggetti in altre classi di archiviazione più economiche, come Accesso Infrequente Amazon S3 Standard (Standard - IA) o Amazon Glacier.

Il AWS cloud fornisce un'infrastruttura e strumenti flessibili per supportare sia offerte di partner sofisticate che soluzioni di registrazione centralizzate autogestite. Ciò include soluzioni come Amazon OpenSearch Service e Amazon CloudWatch Logs.

Puoi implementare il rilevamento e la prevenzione delle frodi per i contatti in entrata personalizzando i flussi Connect Customer in base alle tue esigenze. Ad esempio, puoi confrontare i contatti in entrata con le precedenti attività dei contatti in Dynamo DB e intraprendere azioni come disconnettere un contatto che si trova in una lista di contatti non consentiti.

Best practice per la sicurezza di Connect Customer Chat

Quando ti integri direttamente con Connect Customer Participant Service (o utilizzi la libreria Java Script Connect Customer Chat) e utilizzi WebSocket gli endpoint in streaming per ricevere messaggi per le tue applicazioni o siti Web di frontend, devi proteggere l'applicazione dagli attacchi DOM-based XSS (cross-site scripting).

Le seguenti raccomandazioni di sicurezza possono aiutarti a proteggerti dagli attacchi XSS:

  • Implementa una corretta codifica dell’output per impedire l’esecuzione di script dannosi.

  • Non modificare direttamente il DOM. Ad esempio, non utilizzare innerHTML per visualizzare i contenuti delle risposte alla chat. Potrebbe contenere codice Javascript dannoso che può portare a un attacco XSS. Usa librerie di frontend come React per eliminare e ripulire qualsiasi codice eseguibile incluso nella risposta alla chat.

  • Implementa una policy di sicurezza dei contenuti (CSP) per limitare le fonti da cui l’applicazione può caricare script, stili e altre risorse. In questo modo viene aggiunto un ulteriore livello di protezione.

Best practice di sicurezza Connect Customer WebRTC

Sia per i contatti WebRTC che per quelli di chat, ai partecipanti viene rilasciato un token dei partecipanti, un token di connessione che li identifica in modo univoco all’interno di una sessione di contatto. Poiché il possesso di questo token garantisce l’accesso, la sua esposizione può portare ad attacchi di impersonificazione. Pertanto, proteggere questo token è fondamentale.

Le seguenti raccomandazioni di sicurezza possono aiutarti a proteggerti dagli attacchi di impersonificazione:

  • Autenticare gli utenti prima dell’emissione del token. Assicurati che vengano eseguiti solidi controlli di autenticazione e autorizzazione prima di vendere un token partecipante a qualsiasi cliente o servizio esterno.

  • Ridurre al minimo l’esposizione dei token. Non registrare i token dei partecipanti e non incorporarli negli URL. Utilizza secure transport (HTTPS/TLS) per tutti gli scambi di token.

  • Rispondi rapidamente alle fughe di token. Se viene rilevata una fuga di token, termina o chiudi immediatamente il contatto associato per impedire l’accesso non autorizzato.

  • Utilizza i principi del privilegio minimo. Limita la durata dei token laddove possibile, assicurandoti che siano validi solo per la durata necessaria.

  • Monitora e verifica. Tieni traccia dell’utilizzo dei token e dei modelli di accesso per rilevare anomalie o potenziali abusi.