本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Amazon Connect 中开发安全联络中心的设计原则
安全性包含以下能力:通过风险评估和缓解策略在提供商业价值的同时保护信息、系统和资产。本节概述了与 Amazon Connect 工作负载安全相关的设计原则、最佳实践和问题。
## Amazon Connect 安全之旅
在您决定将工作负载移至 Amazon Connect 后,除了查看[Amazon Connect 中的安全性](security.md)和[Amazon Connect 的安全最佳实践](security-best-practices.md)之外,还要遵循以下准则和步骤来了解和实施与以下核心安全领域相关的安全要求:
![\[此图显示了要在 Amazon Connect 中实施的核心安全区域。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/securityjourney.png)
### 了解 AWS 安全模型
当您将计算机系统和数据迁移到云端时,安全责任将由您和分担 AWS。 AWS 负责保护支持云的底层基础架构,并且您对放在云端或连接到云中的任何内容负责。
![\[了解 AWS 安全模型。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/shareresponsibilitymodel.png)
您使用的 AWS 服务将决定您作为安全责任的一部分必须执行多少配置工作。当您使用 Amazon Connect 时,共享模型会更高层次地反映 AWS 客户责任,如下图所示。
![\[AWS Amazon Connect 的分担责任模型。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/shareresponsibilitymodelforamazonconnect.png)
### 合规性基础
作为多项合规计划的一部分,第三方审计机构评估 Amazon Connect 的安全与 AWS 合规性。这包括 [SOC](https://aws.amazon.com/compliance/soc-faqs/)、[PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)、[C5 (Frankfurt)](https://aws.amazon.com/compliance/bsi-c5/) 和 [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/)。
有关特定合规计划范围内的 AWS 服务列表,请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息,请参阅 [AWS Services合规性计划](https://aws.amazon.com/compliance/programs/)。
### 区域选择
托管 Amazon Connect 实例的区域选择取决于数据主权限制以及联系人和座席所处的位置。做出决定后,请查看 Amazon Connect 的网络要求以及您需要允许的端口和协议。此外,要缩小影响范围,请使用您的 Amazon Connect 实例的域允许列表或允许的 IP 地址范围。
有关更多信息,请参阅 [设置网络以使用 Amazon Connect 联系人控制面板 (CCP)](ccp-networking.md)。
### AWS 服务集成
我们建议根据贵组织的安全要求审查解决方案中的每项 AWS 服务。请参阅以下资源:
+ [AWS Lambda中的安全性](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html)
+ [DynamoDB 中的安全性和合规性](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html)
+ [Amazon Lex 中的安全性](https://docs.aws.amazon.com/lex/latest/dg/security.html)
## Amazon Connect 中的数据安全性
在您的安全之旅中,您的安全团队可能需要更深入地了解 Amazon Connect 中的数据处理方式。请参阅以下资源:
+ [Amazon Connect 的详细网络路径](detailed-network-paths.md)
+ [Amazon Connect 中的基础设施安全性](infrastructure-security.md)
+ [Amazon Connect 中的合规性验证](compliance-validation.md)
### 工作负载图
查看您的工作负载图,并在 AWS上架构最佳解决方案。这包括分析和决定您的解决方案中应包含哪些其他 AWS 服务以及需要集成的任何第三方和本地应用程序。
## AWS Identity and Access Management (IAM)
### Amazon Connect 角色的类型
根据正在执行的活动,Amazon Connect 角色有四种类型。
![\[Amazon Connect 角色的类型。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/amazonconnectpersonas.png)
1. AWS 管理员 — AWS 管理员创建或修改 Amazon Connect 资源,还可以使用 AWS Identity and Access Management (IAM) 服务将管理访问权限委托给其他委托人。该角色的范围集中在创建和管理您的 Amazon Connect 实例上。
1. Amazon Connect 管理员 — 服务管理员决定员工应在管理网站中访问哪些 Amazon Connect 功能和资源。 Amazon Connect 服务管理员分配安全配置文件以确定谁可以访问 Amazon Connect 管理网站以及他们可以执行哪些任务。该角色的范围集中在创建和管理您的 Amazon Connect 联络中心上。
1. Amazon Connect 座席 – 座席与 Amazon Connect 互动以履行其工作职责。服务用户可能是联络中心座席或主管。
1. Amazon Connect 服务联系人 – 与您的 Amazon Connect 联络中心互动的客户。
### IAM 管理员最佳实践
IAM 管理访问权限应仅限于组织内经批准的人员。IAM 管理员还应了解哪些 IAM 功能可用于与 Amazon Connect 结合使用。有关 IAM 最佳实践,请参阅《IAM 用户指南**》中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。另请参阅 [Amazon Connect 基于身份的策略示例](security_iam_id-based-policy-examples.md)
### Amazon Connect 服务管理员最佳实践
服务管理员负责管理 Amazon Connect 用户,包括将用户添加到 Amazon Connect,为他们提供凭证,并分配相应的权限,以便他们能够访问完成其工作所需的功能。管理员最开始只应授予最低权限,然后根据需要授予其它权限。
[Amazon Connect 和联系人控制面板 (CCP) 访问的安全配置文件](connect-security-profiles.md)可帮助您管理哪些人可以访问 Amazon Connect 控制面板和联系人控制面板,哪些人可以执行特定任务。查看在本地可用的默认安全配置文件中授予的精细权限。可以设置自定义安全配置文件以满足特定要求。例如,可以接听电话但也可以访问报告的权力座席。最终确定此内容后,应将用户分配给正确的安全配置文件。
### 多重身份验证
为了提高安全性,建议您要求账户中的所有 IAM 用户进行多重身份验证 (MFA)。可以[通过 AWS IAM 或您的 SAML 2.0 身份提供商或 Radius 服务器设置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) MFA(如果这更适合您的用例)。设置 MFA 后,Amazon Connect 登录页面上会显示第三个文本框以提供第二个因素。
### 联合身份验证
除了在 Amazon Connect 中存储用户外,您还可以通过使用身份联合验证[启用对 Amazon Connect 的单点登录 (SSO)](configure-saml.md)。建议采用联合身份验证的做法,以允许员工生命周期事件在源身份提供商中创建时反映在 Amazon Connect 中。
### 对集成应用程序的访问权限
流中的步骤可能需要凭证才能访问外部应用程序和系统中的信息。要提供以安全方式访问其他 AWS 服务的证书,请使用 IAM 角色。IAM 角色是指自身拥有一组权限的实体,但不是指用户或组。角色也没有自己的一组永久凭证,并且会自动轮换。
诸如 API 密钥之类的凭证应存储在流应用程序代码之外,以便能够以编程方式检索它们。为此,您可以使用 AWS Secrets Manager 或现有的第三方解决方案。Secrets Manager 允许您将代码中的硬编码凭证(包括密码)替换为对 Secrets Manager 的 API 调用,以便以编程方式检索密钥。
## 侦测性控制
日志记录和监控对于联络中心的可用性、可靠性和性能非常重要。您应该将相关信息从 Amazon Connect Flow CloudWatch s 记录到亚马逊,并基于这些信息创建提醒和通知。
您应尽早定义日志保留要求和生命周期策略,并计划尽快将日志文件移至经济高效的存储位置。Amazon Connect 公共 APIs 登录到 AWS CloudTrail。您应该查看并自动执行基于 CloudTrail 日志设置的操作。
Amazon S3 是对日志数据进行长期保留和存档的最佳选择,特别是对于具有合规性计划的组织更是如此,这些组织要求以本机格式对日志数据进行审计。将日志数据存入 S3 存储桶后,定义生命周期规则以自动强制执行保留策略,并将这些对象移至其他经济高效的存储类,例如 Amazon S3 Standard - 不频繁访问(标准:IA)或 Amazon Glacier。
AWS 云提供了灵活的基础架构和工具,既支持与产品配合使用的复杂基础架构,也支持自我管理的集中式日志解决方案。这包括诸如亚马逊 OpenSearch 服务和亚马逊 CloudWatch 日志之类的解决方案。
可以通过根据客户要求自定义 Amazon Connect 流来实施对传入联系人的欺诈检测和预防。例如,客户可以在 DynamoDB 中对照之前的联系人活动来检查传入联系人,然后采取措施,例如断开联系人的连接,因为他们是被阻止的联系人。
## 基础设施保护
尽管 Amazon Connect 中没有基础设施可供管理,但在某些情况下,您的 Amazon Connect 实例可能需要与部署在本地驻留基础设施中的其他组件或应用程序进行交互。因此,必须确保在此假设下考虑联网边界。查看并实施特定的 Amazon Connect 基础设施安全注意事项。此外,出于安全考虑,请查看联络中心座席和主管桌面或 VDI 解决方案。
您可以配置 Lambda 函数来连接到您账户中虚拟私有云(VPC)的私有子网。使用 Amazon Virtual Private Cloud 为资源(如数据库、缓存实例或内部服务)创建私有网络。Amazon Connect 将您的函数连接到 VPC 来在执行期间访问私有资源。
## 数据保护
客户应分析遍历联络中心解决方案并与之交互的数据。
+ 第三方和外部数据
+ 混合 Amazon Connect 架构中的本地数据
在分析了数据的范围之后,在执行数据分类时应注意识别敏感数据。Amazon Connect 符合责任 AWS 共担模式。 [Amazon Connect 中的数据保护](data-protection.md)包括使用 MFA 和 TLS 以及使用其他 AWS 服务(包括 Amazon Macie)等最佳实践。
Amazon Connect [处理与联络中心相关的各种数据](data-handled-by-connect.md)。这包括电话呼叫媒体、通话录音、聊天转录、联系人元数据以及流、路由配置文件和队列。Amazon Connect 通过按账户 ID 和实例 ID 分隔数据来处理静态数据。与 Amazon Connect 交换的所有数据在用户的 Web 浏览器与 Amazon Connect 之间传输时均使用开放标准 TLS 加密进行保护。
您可以指定用于加密的 AWS KMS 密钥,包括自带密钥 (BYOK)。此外,您还可以在 Amazon S3 中使用密钥管理选项。
### 使用客户端加密保护数据
您的使用案例可能需要对流收集的敏感数据进行加密。例如,收集适当的个人信息,以自定义客户在与您的 IVR 互动时的体验。为此,您可以在 [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)中使用公有密钥密码术。 AWS Encryption SDK 是一个客户端加密库,旨在让每个人都能使用开放标准和最佳实践高效地加密和解密数据。
### 输入验证
执行输入验证,以确保只有格式正确的数据才会进入流。这一情况应该在流中尽早发生。例如,当系统提示客户说出或输入电话号码时,他们可能包含国家/地区代码,也可能不包含国家/地区代码。
## Amazon Connect 安全向量
Amazon Connect 安全可分为三个逻辑层,如下图所示:
![\[Amazon Connect 安全向量。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/securityvectors.png)
1. **座席工作站**。代理工作站层不由任何物理设备 AWS 和第三方技术、服务和终端节点管理,这些设备和终端节点可为代理提供语音、数据和访问 Amazon Connect 接口层。
请遵循该层的安全最佳实践,并特别注意以下几点:
+ 计划身份管理时要牢记[Amazon Connect 的安全最佳实践](security-best-practices.md)中提到的最佳实践。
+ 通过创建安全的 IVR 解决方案,使您能够绕过座席对敏感信息的访问,从而降低与处理敏感信息的工作负载相关的内部威胁和合规风险。通过对流中的联系人输入进行加密,您能够安全地捕获信息,而无需将其泄露给您的座席、其工作站或其操作环境。有关更多信息,请参阅 [在 Amazon Connect 中加密客户输入的敏感信息](encrypt-data.md)。
+ 您负责维护使用 Amazon Connect 所需 AWS 的 IP 地址、端口和协议的许可名单。
1. **AWS**: 该 AWS 层包括 Amazon Connect 和 AWS 集成 AWS Lambda,包括亚马逊 DynamoDB、亚马逊 API Gateway、Amazon S3 和其他服务。遵循安全支柱 AWS 服务准则,特别注意以下几点:
+ 计划身份管理时,要牢记[Amazon Connect 的安全最佳实践](security-best-practices.md)中提到的最佳实践。
+ 与其他 AWS 服务的集成:确定用例中的每项 AWS 服务以及适用于此用例的任何第三方集成点。
+ Amazon Connect 可以通过 [Lambda 的 VPC 终端节点与在客户 VPC 内部运行的 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)功能集成。
1. **外部**:外部层包括联系点,包括聊天、 click-to-call端点和用于语音通话的 PSTN、混合联络中心架构中可能与传统联络中心解决方案的集成,以及您可能与其他第三方解决方案的集成。您的工作负载中第三方的任何入口点或出口点均被视为外部层。
该层还涵盖了客户可能与其他第三方解决方案和应用程序 [例如 CRM 系统、人力资源管理 (WFM) 以及报告、可视化工具和应用程序(例如 Tableau 和 Kibana)] 的集成。在保护外部层时,您应考虑以下事项:
+ 您可以使用在流程中向 DynamoDB 写入联系[人详细信息(包括 ANI、聊天终端节点的 IP 地址以及任何其他识别信息)来 click-to-dial为重复和欺诈性联系人创建联系人过滤器](https://aws.amazon.com/blogs/contact-center/how-to-protect-against-spam-calls-for-click-to-dial/),以跟踪在给定时间段内发生了多少联系人请求。 AWS Lambda 这种方法允许您查询联系人并将其添加到拒绝列表中,如果联系人超过合理级别,则自动断开其连接。
+ 采用 [Amazon Connect 电话元数据](connect-attrib-list.md#telephony-call-metadata-attributes)的 ANI 欺诈检测解决方案和[合作伙伴解决方案](https://aws.amazon.com/connect/partners/)可用于防范呼叫方 ID 欺骗。
+ [Amazon Connect Voice ID](voice-id.md) 和其他语音生物识别合作伙伴解决方案可用于增强和简化身份验证流程。主动语音生物识别身份验证允许联系人选择说出特定的短语,并使用这些短语进行语音签名身份验证。被动语音生物识别允许联系人注册其唯一声纹,并使用其声纹对任何符合身份验证的足够长度要求的语音输入进行身份验证。
+ 在 Amazon Connect 控制台中维护[应用程序集成](app-integration.md)分区,以便将任何第三方应用程序或集成点添加到您的允许列表中,并删除未使用的端点。
+ 仅将满足最低要求所需的数据发送到处理敏感数据的外部系统。例如,如果您只有一个业务部门使用您的通话录音分析解决方案,则可以在 S3 存储桶中设置 AWS Lambda 触发器来处理联系记录,在联系记录数据中检查该业务部门的特定队列,如果是属于该部门的队列,则仅将该通话录音发送到外部解决方案。使用这种方法,您只需发送必要的数据,从而可避免与处理不必要的录音相关的成本和开销。
有关使 Amazon Connect 能够与 Amazon Kinesis 和 Amazon RedShift 通信以启用联系记录流式处理的集成,请参阅 [Amazon Connect 集成:数据流式处理](https://aws.amazon.com/quickstart/connect/data-streaming/)。
## 资源
**文档**
+ [AWS 云安全](https://aws.amazon.com/security/)
+ [Amazon Connect 中的安全性](security.md)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS 合规](https://aws.amazon.com/compliance/)
+ [AWS 安全博客](https://aws.amazon.com/blogs/security/)
**文章**
+ [安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)
+ [AWS 安全简介](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/introduction-aws-security.pdf)
+ [AWS 安全最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)
**视频**
+ [AWS 国情安全国情咨文](https://www.youtube.com/watch?v=Wvyc-VEUOns)
+ [AWS 合规——责任共担模型](https://www.youtube.com/watch?v=U632-ND7dKQ)