Melhores práticas de segurança preventiva do Connect Customer As melhores práticas de segurança de detetives do Connect Customer Melhores práticas de segurança do Connect Customer Chat Melhores práticas de segurança do Connect Customer WebRTC

Melhores práticas de segurança para Connect Customer

O Connect Customer fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.

Conteúdo

Melhores práticas de segurança preventiva do Connect Customer
As melhores práticas de segurança de detetives do Connect Customer
Melhores práticas de segurança do Connect Customer Chat
Melhores práticas de segurança do Connect Customer WebRTC

Melhores práticas de segurança preventiva do Connect Customer

Garanta que todas as permissões de perfil sejam o mais restritivas possível. Permita acesso apenas aos recursos absolutamente necessários para a função do usuário. Por exemplo, não dê permissões aos agentes para criar, ler ou atualizar usuários no Connect Customer.
Verifique se a autenticação multifator (MFA) está configurada por meio do provedor de identidade SAML 2.0 ou do servidor Radius, se for mais aplicável ao seu caso de uso. Depois que a MFA é configurada, uma terceira caixa de texto fica visível na página de login do Connect Customer para fornecer o segundo fator.
Se você usar um diretório existente por meio de SAML-based autenticação Directory Service ou gerenciamento de identidade, certifique-se de seguir todos os requisitos de segurança apropriados para seu caso de uso.
Use o URL de login para acesso de emergência na página da instância do AWS console somente em situações de emergência, não para uso diário. Para obter mais informações, consulte Login de emergência no site de administração do Connect Customer.

Usar políticas de controle de serviços (SCPs)

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. Uma SCP define uma barreira de proteção, ou define limites, nas ações que o administrador da conta pode delegar a usuários e funções nas contas afetadas. Você pode usar SCPs para proteger recursos essenciais associados à sua carga de trabalho do Connect Customer.

Definir uma política de controle de serviços para evitar a exclusão de recursos essenciais

Se você estiver usando a autenticação baseada em SAML 2.0 e excluir a função do AWS IAM usada para autenticar usuários do Connect Customer, os usuários não conseguirão fazer login na instância do Connect Customer. Você precisará excluir e recriar os usuários a serem associados a um novo perfil. Isso resulta na exclusão de todos os dados associados a esses usuários.

Para evitar a exclusão acidental de recursos essenciais e proteger a disponibilidade da sua instância do Connect Customer, você pode definir uma Política de Controle de Serviços (SCP) como um controle adicional.

Veja a seguir um exemplo de SCP que pode ser aplicado na AWS conta, na unidade organizacional ou na raiz organizacional para evitar a exclusão da instância do Connect Customer e da função associada:

As melhores práticas de segurança de detetives do Connect Customer

O registro em log e o monitoramento são importantes para a confiabilidade, a disponibilidade e o desempenho da central de atendimento. Você deve registrar informações relevantes dos fluxos do Connect Customer CloudWatch e criar alertas e notificações com base nos mesmos.

Defina os requisitos de retenção de logs e as políticas de ciclo de vida desde o início e prepare-se para mover os arquivos de log para locais de armazenamento econômicos assim que possível. Conecte o log das APIs públicas do Cliente a CloudTrail; para obter mais informações, consulteRegistre as chamadas da API Connect Customer com AWS CloudTrail. Revise e automatize ações com base em CloudTrail registros.

Recomendamos o Amazon S3 para retenção e arquivamento de dados de log de longo prazo, especialmente para organizações com programas de conformidade que exigem que os dados de log sejam auditáveis em seu formato nativo. Depois que os dados de log estiverem em um bucket do Amazon S3, defina regras de ciclo de vida para aplicar automaticamente as políticas de retenção e mover esses objetos para outras classes de armazenamento econômicas, como Amazon S3 Standard - Infrequent Access (Standard - IA) ou Amazon Glacier.

A AWS nuvem fornece infraestrutura e ferramentas flexíveis para suportar ofertas sofisticadas de parceiros e soluções autogerenciadas de registro centralizado. Isso inclui soluções como Amazon OpenSearch Service e Amazon CloudWatch Logs.

Você pode implementar a detecção e a prevenção de fraudes para contatos recebidos personalizando os fluxos do Connect Customer de acordo com suas necessidades. Por exemplo, você pode comparar contatos recebidos com relação a atividades de contatos anteriores no Dynamo DB e, em seguida, tomar medidas como desconectar um contato que está em uma lista de negação.

Melhores práticas de segurança do Connect Customer Chat

Quando você se integra diretamente ao Connect Customer Participant Service (ou usa a biblioteca Java Script do Connect Customer Chat) e usa WebSocket ou transmite endpoints para receber mensagens para seus aplicativos front-end ou sites, você deve proteger seu aplicativo contra ataques DOM-based XSS (cross-site scripting).

As seguintes recomendações de segurança podem ajudar na proteção contra ataques XSS:

Implementar a codificação de saída adequada para ajudar a impedir a execução de scripts mal-intencionados.
Não modificar o DOM diretamente. Por exemplo, não usar innerHTML para renderizar o conteúdo das respostas do chat. Ele pode conter código Javascript mal-intencionado que pode levar a um ataque XSS. Usar bibliotecas de frontend como o React para escapar e limpar qualquer código executável incluído na resposta do chat.
Implementar uma Política de segurança de conteúdo (CSP) para restringir as fontes das quais sua aplicação pode carregar scripts, estilos e outros recursos. Isso adiciona uma camada extra de proteção.

Melhores práticas de segurança do Connect Customer WebRTC

Para contatos do WebRTC e do chat, os participantes recebem um token de participante, que é um token portador que os identifica de forma exclusiva em uma sessão de contato. Como a posse desse token concede acesso, sua exposição pode levar a ataques de falsificação de identidade. Portanto, proteger esse token é fundamental.

As seguintes recomendações de segurança podem ajudar na proteção contra ataques de falsificação de identidade:

Autentique os usuários antes da emissão do token. Realize verificações robustas de autenticação e autorização antes de fornecer um token de participante para qualquer cliente ou serviço externo.
Minimize a exposição de tokens. Não registre tokens de participantes em log nem os incorpore em URLs. Use secure transport (HTTPS/TLS) para todas as trocas de tokens.
Responda rapidamente a vazamentos de tokens. Se um vazamento de token for detectado, encerre ou interrompa imediatamente o contato associado para evitar o acesso não autorizado.
Use os princípios de privilégio mínimo. Limite a vida útil dos tokens sempre que possível, garantindo que eles sejam válidos somente pelo tempo necessário.
Monitore e audite. Rastreie o uso de tokens e os padrões de acesso a fim de detectar anomalias ou possíveis abusos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Cross-service prevenção delegada confusa em AWS

Definir restrições de endereço IP e tempos limite de sessão