本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Amazon Connect 中開發安全聯絡中心的設計原則
安全性包括能夠保護資訊、系統和資產,同時透過風險評估和緩解策略提供商業價值。本節提供設計原則、最佳實務以及 Amazon Connect 工作負載安全性相關問題的概觀。
## Amazon Connect 安全性旅程
決定將工作負載移至 Amazon Connect 之後,除了檢閱 [Amazon Connect 的安全](security.md) 和 [Amazon Connect 的安全最佳實務](security-best-practices.md),還需要遵循以下準則和步驟,以瞭解並實作與下列核心安全性區域相關的安全性需求:
### 了解 AWS 安全模型
當您將電腦系統和資料移至雲端時,安全責任將由您與 共同承擔 AWS。 AWS 負責保護支援雲端的基礎基礎設施,而您需負責任何放置在雲端或連線至雲端的內容。
作為安全責任的一部分,您使用 AWS 的服務將決定您必須執行多少組態工作。當您使用 Amazon Connect 時,共用模型會在高階反映 AWS 和客戶的責任,如下圖所示。
### 合規性基礎
在多個合規計畫中,第三方稽核人員會評估 Amazon Connect 的安全性和 AWS 合規性。這些包括 [SOC](https://aws.amazon.com/compliance/soc-faqs/)、[PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)、[C5 (法蘭克福)](https://aws.amazon.com/compliance/bsi-c5/) 和 [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/)。
如需特定合規計劃範圍內 AWS 的服務清單,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。如需一般資訊,請參閱 [AWS 服務合規計劃](https://aws.amazon.com/compliance/programs/)。
### 區域選擇
託管 Amazon Connect 執行個體的區域選擇取決於資料主權限制以及聯絡人和客服人員的所在位置。決定後,請檢閱 Amazon Connect 的網路需求,以及您需要允許的連接埠和協定。此外,若要減少影響範圍,請使用 Amazon Connect 執行個體的網域允許清單或允許的 IP 地址範圍。
如需詳細資訊,請參閱[設定您的網路以使用 Amazon Connect 聯絡人控制台 (CCP)](ccp-networking.md)。
### AWS 服務整合
我們建議您根據組織的安全需求來檢閱解決方案中的每個 AWS 服務。請參閱下列資源:
+ [AWS Lambda中的安全性](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html)
+ [DynamoDB 中的安全與合規](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html)
+ [Amazon Lex 中的安全](https://docs.aws.amazon.com/lex/latest/dg/security.html)
## Amazon Connect 中的資料安全
在您的安全性旅程中,您的安全團隊可能需要更深入地了解 Amazon Connect 中資料的處理方式。請參閱下列資源:
+ [Amazon Connect 的詳細網絡路徑](detailed-network-paths.md)
+ [Amazon Connect 的基礎設施安全](infrastructure-security.md)
+ [Amazon Connect 中的合規驗證](compliance-validation.md)
### 工作負載圖
檢閱您的工作負載圖,並在 AWS上架構最佳解決方案。這包括分析和決定您的解決方案中應包含哪些額外的 AWS 服務,以及需要整合的任何第三方和內部部署應用程式。
## AWS Identity and Access Management (IAM)
### Amazon Connect 角色的類型
根據正在執行的活動,Amazon Connect 角色的類型有四種。
1. AWS 管理員 – AWS 管理員會建立或修改 Amazon Connect 資源,也可以使用 AWS Identity and Access Management (IAM) 服務將管理存取權委派給其他委託人。此角色的範圍著重於建立和管理您的 Amazon Connect 執行個體。
1. Amazon Connect 管理員 – 服務管理員決定員工應在管理員網站中存取哪些 Amazon Connect Connect Customer 功能和資源。服務管理員會指派安全性設定檔,以判斷誰可以存取 Connect Customer 管理員網站,以及他們可以執行哪些任務。此角色的範圍著重於建立和管理您的 Amazon Connect 聯絡中心。
1. Amazon Connect 客服人員 – 客服人員與 Amazon Connect 互動以履行其工作職責。服務使用者可能是聯絡中心客服人員或主管。
1. Amazon Connect 服務聯絡人 – 與您的 Amazon Connect 聯絡中心互動的客戶。
### IAM 管理員最佳實務
IAM 管理存取權限應僅限於組織內已核准的人員。IAM 管理員也應該瞭解哪些 IAM 功能可與 Amazon Connect 搭配使用。有關 IAM 最佳實務,請參閱《IAM 使用者指南》**中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。另請參閱[Amazon Connect 的身分型政策範例](security_iam_id-based-policy-examples.md)。
### Amazon Connect 服務管理員最佳實務
服務管理員負責管理 Amazon Connect 使用者,包括將使用者新增至 Amazon Connect,提供他們的憑證,並指派適當的許可,以便他們能夠存取執行工作所需的功能。管理員應從最低的許可開始,然後依需要授予額外的許可。
[用於 Amazon Connect 和聯絡人控制台 (CCP) 存取的安全性設定檔](connect-security-profiles.md) 可協助您管理可存取 Amazon Connect 儀表板和聯絡控制面板的使用者,以及可執行特定任務的使用者。檢閱在原生可用的預設安全性設定檔中授予的精細權限。您可以設定自訂安全性設定檔以符合特定需求。例如,能夠接管通話也能存取報告的權責客服人員。完成此操作之後,應將使用者指派至正確的安全性設定檔。
### Multi-Factor Authentication
為了提高安全性,我們建議您要求帳戶中的所有 IAM 使用者進行多重要素驗證 (MFA)。如果更適用於您的使用案例,則可以[透過 AWS IAM 或 SAML 2.0 身分提供者或 Radius 伺服器設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) MFA。設定 MFA 之後,Amazon Connect 登入頁面上會顯示第三個文字方塊,以提供第二個因素。
### 聯合身分
除了將使用者存放在 Amazon Connect 中之外,您還可以使用聯合身分[啟用 Amazon Connect 的單一登入 (SSO)](configure-saml.md) 功能。聯合是一項建議的做法,可讓員工生命週期事件在來源身分供應商中進行時反映在 Amazon Connect 中。
### 存取整合應用程式
流程中的步驟可能需要憑證才能存取外部應用程式和系統中的資訊。若要以安全的方式提供登入資料來存取其他 AWS 服務,請使用 IAM 角色。IAM 角色是一個擁有自己的一組許可的實體,但不是使用者或群組。角色也沒有擁有自己的永久性憑證,而且會自動輪換。
諸如 API 金鑰之類的憑證應儲存在流程應用程式程式碼之外,以程式設計的方式擷取這些憑證。若要達成此目的,您可以使用 AWS Secrets Manager 或現有的第三方解決方案。Secrets Manager 可讓您將程式碼中硬式編碼的憑證 (包括密碼),改成透過 API 呼叫 Secrets Manager,以程式設計方法擷取秘密。
## 偵測性控制
登入和監控對於聯絡中心的可用性、可靠性和效能來說至關重要。您應該將相關資訊從 Amazon Connect 流程記錄到 Amazon CloudWatch,並建立相同的建立警報和通知。
您應該儘早定義日誌保留需求和生命週期原則,並計劃盡快將日誌檔移至具成本效益的儲存位置。Amazon Connect 公有 APIs會登入 AWS CloudTrail。您應該檢閱並根據 CloudTrail 日誌設定自動動作。
Amazon S3 是長期保留和存檔日誌資料的最佳選擇,特別是對於具有需要以原生格式稽核日誌資料的合規計劃的組織而言。日誌資料存放在 S3 儲存貯體後,請定義生命週期規則以自動強制執行保留政策,並將這些物件移至其他具成本效益的儲存類別,例如 Amazon S3 Standard – 不常存取 (Standard - IA) 或 Amazon Glacier。
AWS 雲端提供彈性的基礎設施和工具,可支援與 產品及自我管理集中記錄解決方案的複雜合作。這包括 Amazon OpenSearch Service 和 Amazon CloudWatch Logs 等解決方案。
根據的客戶要求的 Amazon Connect 流程,為傳入的聯絡實作詐騙偵測和預防。例如,客戶可以根據 DynamoDB 中先前的聯絡活動檢查撥入的聯絡,然後採取行動,例如中斷聯絡的連線,因為他們是遭到封鎖的聯絡人。
## 基礎設施保護
雖然 Amazon Connect 中沒有可管理的基礎設施,但在某些情況下,Amazon Connect 執行個體需要與位於內部部署基礎設施中的其他元件或應用程式進行交互。因此,確保在此假設下考慮網路邊界非常重要。檢閱並實作特定的 Amazon Connect 基礎設施安全考量。此外,請檢閱聯絡中心客服人員和主管桌上型電腦或 VDI 解決方案,瞭解安全性考量。
您可以設定 Lambda 函數,以連線到您 帳戶中 Virtual Private Cloud (VPC) 中的私有子網路。使用 Amazon Virtual Private Cloud,為資料庫、快取執行個體或內部服務等資源建立私有網路。Amazon Connect 將函式連線到 VPC 以在執行期間存取私有資源。
## 資料保護
客戶應分析通過客服中心解決方案擷取的資料,並與聯絡中心互動。
+ 第三方和外部資料
+ 混合式 Amazon Connect 架構中的內部部署資料
在分析資料範圍之後,應進行資料分類,注意識別敏感資料。Amazon Connect 符合 AWS 共同責任模型。 [Amazon Connect 的資料保護](data-protection.md)包含最佳實務,例如使用 MFA 和 TLS,以及使用其他 AWS 服務,包括 Amazon Macie。
Amazon Connect [處理與聯絡中心相關的各種資料](data-handled-by-connect.md)。這包括電話通話媒體、通話錄音、聊天記錄、聯絡中繼資料以及流程、轉接描述檔和貯列。Amazon Connect 會根據帳戶 ID 和執行個體 ID 隔離資料,來處理靜態資料。與 Amazon Connect 交換的所有資料都會使用開放標準 TLS 加密,在使用者的網頁瀏覽器與 Amazon Connect 之間在傳輸中受到保護。
您可以指定要用於加密的 AWS KMS 金鑰,包括自備金鑰 (BYOK)。此外,您還可以在 Amazon S3 中使用金鑰管理選項。
### 使用用戶端加密保護資料
您的使用案例可能需要對流程收集的敏感資料進行加密。例如,收集適當的個人資訊,以便客戶與 IVR 互動時自訂客戶體驗。要做到這一點,您可以使用公鑰加密與 [AWS 加密 SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)。 AWS 加密 SDK 是用戶端加密程式庫,旨在讓每個人有效率地使用開放標準和最佳實務來加密和解密資料。
### 輸入驗證
執行輸入驗證,以確保只有正確格式的資料才會進入流程。這應該在流程中盡早發生。例如,當提示客戶說出或輸入電話號碼時,可能包含,也可能不包含國家/地區代碼。
## Amazon Connect 安全向量
Amazon Connect 安全性可分為三個邏輯層,如下圖所示:
1. **客服人員工作站**。代理程式工作站層不是由 管理, AWS 由任何實體設備和第三方技術、服務和端點組成,這些技術、服務和端點可促進代理程式的語音、資料和存取 Amazon Connect 介面層。
請特別注意下列事項,請遵循此層的安全性最佳作法:
+ 規劃身分管理時,請牢記上述的最佳實務 [Amazon Connect 的安全最佳實務](security-best-practices.md)。
+ 建立可讓您略過客服人員存取敏感資訊的安全 IVR 解決方案,以降低與處理敏感資訊之工作負載相關的內部威脅和合規性風險。透過加密流程中的聯絡人輸入,您可以安全地擷取資訊,而不會將資訊暴露給客服人員、其工作站或其作業環境。如需詳細資訊,請參閱[在 Amazon Connect 中加密敏感客戶輸入](encrypt-data.md)。
+ 您負責維護使用 Amazon Connect 所需的 AWS IP 地址、連接埠和通訊協定的允許清單。
1. **AWS**: AWS layer 包含 Amazon Connect 和 AWS 整合 AWS Lambda,包括 Amazon DynamoDB、Amazon API Gateway、Amazon S3 和其他 服務。請遵循 AWS 服務的安全支柱準則,並特別注意下列事項:
+ 規劃身分管理時,請牢記 [Amazon Connect 的安全最佳實務](security-best-practices.md) 中所述的最佳實務。
+ 與其他 AWS 服務的整合:識別使用案例中的每個 AWS 服務,以及適用於此使用案例的任何第三方整合點。
+ Amazon Connect 可以透過 [Lambda 的 VPC 端點](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html),與在客戶 VPC 內執行的 AWS Lambda 函數整合。
1. **外部**:外部層聯絡點,包括聊天、一鍵通話端點和語音通話的 PSTN、您可能與混合式聯絡中心架構中的舊式聯絡中心解決方案整合,以及您可能與其他第三方解決方案的整合。工作負載中第三方的任何進入點或退出點都會被視為外部層。
此層還涵蓋了客戶可能與其他第三方解決方案和應用程式,例如 CRM 系統、工作力管理 (WFM) 以及報告和視覺化工具和應用程式 (例如 Tableau 和 Kibana) 的整合。保護外部層時,應考量下列幾點:
+ 您可以使用 [為重複和詐騙聯絡人建立聯絡篩選條件](https://aws.amazon.com/blogs/contact-center/how-to-protect-against-spam-calls-for-click-to-dial/) AWS Lambda ,以從流程中將聯絡詳細資訊寫入 DynamoDB,包括 ANI、click-to-dial和聊天端點的 IP 地址,以及任何其他識別資訊,以追蹤指定期間內發生的聯絡請求數量。這種方法允許您查詢聯絡並將其新增至拒絕清單,如果超出合理水平,則會自動斷開連線。
+ ANI 詐騙偵測解決方案使用 [Amazon Connect 電話中繼資料](connect-attrib-list.md#telephony-call-metadata-attributes)和[合作夥伴解決方案](https://aws.amazon.com/connect/partners/),能夠防止來電顯示 ID 詐騙。
+ [Amazon Connect Voice ID](voice-id.md) 和其他語音生物特徵識別合作夥伴解決方案,可用於增強和簡化身分驗證程序。主動語音生物特徵身分驗證,可讓聯絡人選擇說出特定片語,並將其用於語音簽名驗證。被動語音生物識別技術可讓聯絡人登記其獨特的聲紋,並且任何輸入長度滿足身分驗證要求的語音,皆可使用聲紋來驗證其身分。
+ 在 Amazon Connect 主控台中維護[應用程式整合](app-integration.md)區段,以將任何第三方應用程式或整合點新增至允許清單,並移除未使用的端點。
+ 僅傳送必要資料,以滿足外部系統處理敏感資料時的最低要求。例如,如果您只有一個業務單位使用通話錄音分析解決方案,則可以在 S3 儲存貯體中設定 AWS Lambda 觸發器來處理聯絡記錄、檢查聯絡錄音資料中業務單位的特定佇列,如果是屬於該單位的佇列,請僅將該通話錄音傳送至外部解決方案。使用這種方法,您只需發送必要的資料,並避免與處理不必要的錄製相關的成本和開銷。
如需可讓 Amazon Connect 與 Amazon Kinesis 和 Amazon Redshift 通訊以啟用聯絡記錄串流的整合,請參閱 [Amazon Connect 整合:資料串流](https://aws.amazon.com/quickstart/connect/data-streaming/)。
## Resources
**文件**
+ [AWS 雲端安全性](https://aws.amazon.com/security/)
+ [Amazon Connect 的安全](security.md)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS 合規](https://aws.amazon.com/compliance/)
+ [AWS 安全部落格](https://aws.amazon.com/blogs/security/)
**文章**
+ [安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
+ [AWS 安全性簡介](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/introduction-aws-security.pdf)
+ [AWS 安全最佳實務](https://aws.amazon.com/architecture/security-identity-compliance/)
**影片**
+ [AWS 聯集的安全狀態](https://www.youtube.com/watch?v=Wvyc-VEUOns)
+ [AWS 合規 - 共同的責任模型](https://www.youtube.com/watch?v=U632-ND7dKQ)