Best practice di sicurezza per Amazon Connect - Amazon Connect
Best practice di sicurezza preventiva di Amazon ConnectBest practice per la sicurezza investigativa di Amazon ConnectBest practice per la sicurezza di Amazon Connect Chat

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per Amazon Connect

Amazon Connect fornisce una serie di funzionalità di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Dato che queste best practice potrebbero non essere appropriate o sufficienti nel proprio ambiente, si considerino come riflessioni utili più che istruzioni.

Best practice di sicurezza preventiva di Amazon Connect

  • Assicurati che tutte le autorizzazioni dei profili siano il più restrittive possibile. Consenti l'accesso solo alle risorse assolutamente necessarie per il ruolo dell'utente. Ad esempio, non concedere agli agenti autorizzazioni per creare, leggere o aggiornare gli utenti in Amazon Connect.

  • Assicurati che l'autenticazione Multi-Factor Authentication (MFA) sia impostata tramite il provider di identità SAML 2.0 o il server Radius, se è più adatta al tuo caso d'uso. Dopo aver impostato l'autenticazione a più fattori (MFA), nella pagina di accesso di Amazon Connect diventa visibile una terza casella di testo per fornire il secondo fattore.

  • Se utilizzi una directory esistente tramite AWS Directory Service o un'autenticazione basata su SAML per la gestione delle identità, assicurati di rispettare tutti i requisiti di sicurezza appropriati per il tuo caso d'uso.

  • Utilizza l'URL di accesso per l'accesso di emergenza nella pagina dell'istanza della AWS console solo in situazioni di emergenza, non per l'uso quotidiano. Per ulteriori informazioni, consulta Accesso di emergenza al sito Web di amministrazione di Amazon Connect.

Utilizza le politiche di controllo del servizio (SCPs)

Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. Una SCP definisce un guardrail (barriera protettiva), o imposta dei limiti, sulle azioni che l'amministratore dell'account può delegare ai ruoli e agli utenti negli account interessati. Puoi utilizzarlo SCPs per proteggere le risorse critiche associate al tuo carico di lavoro Amazon Connect.

Impostazione di una policy di controllo dei servizi per impedire l'eliminazione di risorse critiche

Se utilizzi l'autenticazione basata su SAML 2.0 ed elimini il ruolo AWS IAM utilizzato per autenticare gli utenti di Amazon Connect, gli utenti non saranno in grado di accedere all'istanza Amazon Connect. Dovrai eliminare e ricreare gli utenti da associare a un nuovo ruolo. Ciò comporta l'eliminazione di tutti i dati associati a tali utenti.

Per evitare l'eliminazione accidentale di risorse critiche e proteggere la disponibilità della tua istanza Amazon Connect, puoi impostare una policy di controllo dei servizi (SCP) come misura di controllo aggiuntiva.

Di seguito è riportato un esempio di SCP che può essere applicato all' AWS account, all'unità organizzativa o alla radice organizzativa per impedire l'eliminazione dell'istanza Amazon Connect e del ruolo associato:

JSON
{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Best practice per la sicurezza investigativa di Amazon Connect

La registrazione di log e il monitoraggio sono importanti per garantire l'affidabilità, la disponibilità e le prestazioni del contact center. È necessario registrare le informazioni pertinenti dai flussi di Amazon Connect CloudWatch e creare avvisi e notifiche basati su di essi.

Definisci in anticipo i requisiti di conservazione dei log e le policy relative al ciclo di vita e pianifica lo spostamento dei file di log in posizioni di archiviazione più economiche non appena possibile. APIsAccedi pubblicamente ad Amazon Connect CloudTrail; per ulteriori informazioni, consultaRegistra le chiamate API Amazon Connect con AWS CloudTrail. Rivedi e automatizza le azioni in base ai CloudTrail log.

Amazon S3 è la scelta consigliata per la conservazione e l'archiviazione a lungo termine dei dati di log, in particolare per le organizzazioni con programmi di conformità che richiedono che i dati di log siano verificabili nel loro formato nativo. Dopo aver inserito i dati di log in un bucket Amazon S3, definisci le regole del ciclo di vita per applicare automaticamente le politiche di conservazione e sposta questi oggetti in altre classi di storage convenienti, come Amazon S3 Standard - Infrequent Access (Standard - IA) o Amazon S3 Glacier.

Il AWS cloud offre infrastrutture e strumenti flessibili per supportare sia offerte di partner sofisticate che soluzioni di registrazione centralizzate autogestite. Ciò include soluzioni come Amazon OpenSearch Service e Amazon CloudWatch Logs.

Puoi implementare il rilevamento e la prevenzione delle frodi per i contatti in entrata personalizzando i flussi Amazon Connect in base alle tue esigenze. Ad esempio, puoi confrontare i contatti in entrata con le precedenti attività dei contatti in Dynamo DB e intraprendere azioni come disconnettere un contatto che si trova in una lista di contatti non consentiti.

Best practice per la sicurezza di Amazon Connect Chat

Quando effettui l'integrazione diretta con Amazon Connect Participant Service (o utilizzi la libreria Java Script di Amazon Connect Chat) e utilizzi WebSocket gli endpoint di streaming per ricevere messaggi per le tue applicazioni frontend o siti Web, devi proteggere la tua applicazione dagli attacchi XSS (cross-site scripting) basati su DOM.

I seguenti consigli di sicurezza possono aiutarti a proteggerti dagli attacchi XSS:

  • Implementa una corretta codifica dell'output per impedire l'esecuzione di script dannosi.

  • Non modificare direttamente il DOM. Ad esempio, non innerHTML utilizzarlo per visualizzare i contenuti delle risposte alla chat. Potrebbe contenere codice Javascript dannoso che può portare a un attacco XSS. Usa librerie di frontend come React per eliminare e ripulire qualsiasi codice eseguibile incluso nella risposta alla chat.

  • Implementa una Content Security Policy (CSP) per limitare le fonti da cui l'applicazione può caricare script, stili e altre risorse. Ciò aggiunge un ulteriore livello di protezione.