

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Connect Customer 中开发安全联络中心的设计原则
<a name="security-bp"></a>

安全性包含以下能力：通过风险评估和缓解策略在提供商业价值的同时保护信息、系统和资产。本节概述了围绕 Connect Customer 工作负载安全的设计原则、最佳实践和问题。

## Connect 客户安全之旅
<a name="amazon-connect-security-journey"></a>

在您决定将工作负载转移到 Connect Customer 之后[Connect 客户的安全最佳实践](security-best-practices.md)，除了查看[Connect 客户的安全性](security.md)和遵循以下准则和步骤之外，还要了解和实施与以下核心安全领域相关的安全要求：

![该图显示了在 Connect Customer 中要实施的核心安全区域。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/securityjourney.png)


### 理解 AWS 安全模型
<a name="understanding-security-model"></a>

当您将计算机系统和数据迁移到云端时，安全责任将由您和分担 AWS。 AWS 负责保护支持云的底层基础架构，并且您对放在云端或连接到云中的任何内容负责。

![了解 AWS 安全模型。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/shareresponsibilitymodel.png)


您使用的 AWS 服务将决定您作为安全责任的一部分必须执行多少配置工作。当您使用 Connect Customer 时，共享模型会更高层次地反映 AWS 客户责任，如下图所示。

![AWS Connect 客户的分担责任模型。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/shareresponsibilitymodelforamazonconnect.png)


### 合规性基础
<a name="compliance-foundations"></a>

Third-party 作为多个合规计划的一部分，审计师评估Connect客户的安全和 AWS 合规性。这包括 [SOC](https://aws.amazon.com/compliance/soc-faqs/)、[PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)、[C5 (Frankfurt)](https://aws.amazon.com/compliance/bsi-c5/) 和 [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/)。

有关特定合规计划范围内的 AWS 服务列表，请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息，请参阅 [AWS Services合规性计划](https://aws.amazon.com/compliance/programs/)。

### 区域选择
<a name="regionselection"></a>

托管 Connect Customer 实例的区域选择取决于数据主权限制以及联系人和代理所在地。做出决定后，请查看 Connect Customer 的网络要求以及需要允许的端口和协议。此外，要缩小爆炸半径，请使用您的 Connect Customer 实例的域允许列表或允许的 IP 地址范围。

有关更多信息，请参阅 [将您的网络设置为使用 Connect 客户联系人控制面板 (CCP)](ccp-networking.md)。

### AWS 服务集成
<a name="servicesintegration"></a>

我们建议根据贵组织的安全要求审查解决方案中的每项 AWS 服务。请参阅以下资源：
+ [AWS Lambda中的安全性](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html) 
+ [DynamoDB 中的安全性和合规性](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html) 
+ [Amazon Lex 中的安全性](https://docs.aws.amazon.com/lex/latest/dg/security.html) 

## Connect 客户中的数据安全
<a name="datasecurity-bp"></a>

在您的安全旅程中，您的安全团队可能需要更深入地了解 Connect Customer 中的数据处理方式。请参阅以下资源：
+ [Connect 客户的详细网络路径](detailed-network-paths.md)
+ [Connect Customer 中的基础设施安全](infrastructure-security.md)
+ [在 Connect 客户中进行合规性验证](compliance-validation.md)

### 工作负载图
<a name="workload-diagram"></a>

查看您的工作负载图，并在 AWS上架构最佳解决方案。这包括分析和决定您的解决方案中应包含哪些其他 AWS 服务以及需要集成的任何第三方和本地应用程序。

## AWS Identity and Access Management (IAM)
<a name="iam-bp"></a>

### Connect 客户角色的类型
<a name="typesofpersonas"></a>

根据正在执行的活动，Connect 客户角色有四种类型。

![Connect 客户角色的类型。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/amazonconnectpersonas.png)


1. AWS 管理员 — AWS 管理员创建或修改 Connect Customer 资源，还可以使用 AWS Identity and Access Management (IAM) 服务将管理访问权限委托给其他委托人。此角色的范围侧重于创建和管理您的 Connect 客户实例。

1. Connect 客户管理员 — 服务管理员决定员工应在管理网站中访问哪些 Connect 客户功能和资源。 Connect Customer 服务管理员分配安全配置文件以确定谁可以访问 Connect Customer 管理网站以及他们可以执行哪些任务。该角色的范围侧重于创建和管理您的 Connect 客户联络中心。

1. Connect 客户代理 — 代理与 Connect 客户互动以履行其工作职责。服务用户可能是联络中心座席或主管。

1. Connect 客户服务联系人 — 与您的 Connect 客户联络中心互动的客户。

### IAM 管理员最佳实践
<a name="iambp"></a>

IAM 管理访问权限应仅限于组织内经批准的人员。IAM 管理员还应了解哪些可用于 Connect Customer 的 IAM 功能。有关 IAM 最佳实践，请参阅《IAM 用户指南**》中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。另请参阅 [Connect 基于客户身份的策略示例](security_iam_id-based-policy-examples.md) 

### Connect 客户服务管理员最佳实践
<a name="iambp"></a>

服务管理员负责管理 Connect Customer 用户，包括将用户添加到 Connect Customer，为他们提供凭证，并分配相应的权限，以便他们能够访问完成工作所需的功能。管理员最开始只应授予最低权限，然后根据需要授予其它权限。

[Connect 客户和联系人控制面板 (CCP) 访问权限的安全配置文件](connect-security-profiles.md)帮助您管理谁可以访问 Connect 客户控制面板和联系人控制面板，以及谁可以执行特定任务。查看在本地可用的默认安全配置文件中授予的精细权限。可以设置自定义安全配置文件以满足特定要求。例如，可以接听电话但也可以访问报告的权力座席。最终确定此内容后，应将用户分配给正确的安全配置文件。

### Multi-Factor 身份验证
<a name="mfa"></a>

为了提高安全性，建议您要求账户中的所有 IAM 用户进行多重身份验证 (MFA)。可以[通过 AWS IAM 或您的 SAML 2.0 身份提供商或 Radius 服务器设置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) MFA（如果这更适合您的用例）。设置 MFA 后，第三个文本框将显示在 Connect 客户登录页面上，以提供第二个因素。

### 联合身份验证
<a name="identityfederation"></a>

除了将用户存储在 Connect Customer 中外，您还可以使用联合身份验证对 Conn [ect Customer 启用单点登录 (SSO)](configure-saml.md)。推荐使用联合身份验证，这样当员工生命周期事件在源身份提供者中创建时，这些事件可以反映在 Connect Customer 中。

### 对集成应用程序的访问权限
<a name="accessintegratedapps"></a>

流中的步骤可能需要凭证才能访问外部应用程序和系统中的信息。要提供以安全方式访问其他 AWS 服务的证书，请使用 IAM 角色。IAM 角色是指自身拥有一组权限的实体，但不是指用户或组。角色也没有自己的一组永久凭证，并且会自动轮换。

诸如 API 密钥之类的凭证应存储在流应用程序代码之外，以便能够以编程方式检索它们。为此，您可以使用 AWS Secrets Manager 或现有的第三方解决方案。Secrets Manager 允许您将代码中的硬编码凭证（包括密码）替换为对 Secrets Manager 的 API 调用，以便以编程方式检索密钥。

## 侦测性控制
<a name="detectivecontrols"></a>

日志记录和监控对于联络中心的可用性、可靠性和性能非常重要。您应该将相关信息从 Connect Customer Flows 记录到 Amazon CloudWatch ，并基于这些信息创建提醒和通知。

您应尽早定义日志保留要求和生命周期策略，并计划尽快将日志文件移至经济高效的存储位置。Connect 客户公共 API 登录到 AWS CloudTrail。您应该查看并自动执行基于 CloudTrail 日志设置的操作。

Amazon S3 是对日志数据进行长期保留和存档的最佳选择，特别是对于具有合规性计划的组织更是如此，这些组织要求以本机格式对日志数据进行审计。将日志数据存入 S3 存储桶后，定义生命周期规则以自动强制执行保留策略，并将这些对象移至其他经济高效的存储类，例如 Amazon S3 Standard - 不频繁访问（标准：IA）或 Amazon Glacier。

 AWS 云提供了灵活的基础架构和工具，既支持与产品配合使用的复杂基础架构，也支持自我管理的集中式日志解决方案。这包括诸如亚马逊 OpenSearch 服务和亚马逊 CloudWatch 日志之类的解决方案。

可以通过根据客户要求自定义 Connect 客户流来实现对来电联系的欺诈检测和预防。例如，客户可以在 DynamoDB 中对照之前的联系人活动来检查传入联系人，然后采取措施，例如断开联系人的连接，因为他们是被阻止的联系人。

## 基础设施保护
<a name="infrastructureprotection"></a>

尽管 Connect Customer 中没有基础设施可供管理，但在某些情况下，您的 Connect Customer 实例可能需要与部署在本地基础设施中的其他组件或应用程序进行交互。因此，必须确保在此假设下考虑联网边界。查看并实施特定的 Connect 客户基础架构安全注意事项。此外，出于安全考虑，请查看联络中心座席和主管桌面或 VDI 解决方案。

您可以配置 Lambda 函数来连接到您账户中虚拟私有云（VPC）的私有子网。使用 Amazon Virtual Private Cloud 为资源（如数据库、缓存实例或内部服务）创建私有网络。Connect Customer 将您的函数连接到 VPC，以便在执行期间访问私有资源。

## 数据保护
<a name="dataprotection"></a>

客户应分析遍历联络中心解决方案并与之交互的数据。
+ 第三方和外部数据
+ On-premises 混合 Connect 客户架构中的数据

在分析了数据的范围之后，在执行数据分类时应注意识别敏感数据。Connect 客户符合责任 AWS 共担模式。 [Connect Customer 中的数据保护](data-protection.md)包括使用 MFA 和 TLS 以及使用其他 AWS 服务（包括 Amazon Macie）等最佳实践。

Connect 客户[处理与联络中心相关的各种数据](data-handled-by-connect.md)。这包括电话呼叫媒体、通话录音、聊天转录、联系人元数据以及流、路由配置文件和队列。Connect Customer 通过按账户 ID 和实例 ID 隔离数据来处理静态数据。与Connect客户交换的所有数据在用户的网络浏览器和Connect客户之间传输时都使用开放标准的TLS加密进行保护。

您可以指定用于加密的 AWS KMS 密钥，包括自带密钥 (BYOK)。此外，您还可以在 Amazon S3 中使用密钥管理选项。

### 使用 Client-Side 加密保护数据
<a name="protectingdata"></a>

您的使用案例可能需要对流收集的敏感数据进行加密。例如，收集适当的个人信息，以自定义客户在与您的 IVR 互动时的体验。为此，您可以在 [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)中使用公有密钥密码术。 AWS Encryption SDK 是一个客户端加密库，旨在让每个人都能使用开放标准和最佳实践高效地加密和解密数据。

### 输入验证
<a name="inputvalidation"></a>

执行输入验证，以确保只有格式正确的数据才会进入流。这一情况应该在流中尽早发生。例如，当系统提示客户说出或输入电话号码时，他们可能包含国家/地区代码，也可能不包含国家/地区代码。

## Connect 客户安全向量
<a name="securityvectors"></a>

Connect 客户安全可分为三个逻辑层，如下图所示：

![Connect 客户安全向量。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/securityvectors.png)


1. **座席工作站**。座席工作站层不受任何物理设备 AWS 和第三方技术、服务和端点的管理，这些设备和端点可帮助您的座席进行语音、数据和访问 Connect Customer 接口层。

   请遵循该层的安全最佳实践，并特别注意以下几点：
   + 计划身份管理时要牢记[Connect 客户的安全最佳实践](security-best-practices.md)中提到的最佳实践。
   + 通过创建安全的 IVR 解决方案，使您能够绕过座席对敏感信息的访问，从而降低与处理敏感信息的工作负载相关的内部威胁和合规风险。通过对流中的联系人输入进行加密，您能够安全地捕获信息，而无需将其泄露给您的座席、其工作站或其操作环境。有关更多信息，请参阅 [在 Connect 客户中对敏感的客户输入进行加密](encrypt-data.md)。
   + 您负责维护使用 Connect Customer 所需 AWS 的 IP 地址、端口和协议的许可名单。

1. **AWS**：该 AWS 层包括 Connect Customer 和 AWS 集成 AWS Lambda，包括亚马逊 DynamoDB、Amazon API Gateway、Amazon S3 和其他服务。遵循安全支柱 AWS 服务准则，特别注意以下几点：
   + 计划身份管理时，要牢记[Connect 客户的安全最佳实践](security-best-practices.md)中提到的最佳实践。
   + 与其他 AWS 服务的集成：确定用例中的每项 AWS 服务以及适用于此用例的任何第三方集成点。
   + Connect 客户可以通过 [Lambda 的 VPC 终端节点与在客户 VPC 内部运行的 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)功能集成。

   

1. **外部**：外部层包含联系点，其中包括聊天、点击呼叫端点和用于语音通话的 PSTN、混合联络中心架构中可能与传统联络中心解决方案的集成，以及可能与其他第三方解决方案的集成。您的工作负载中第三方的任何入口点或出口点均被视为外部层。

   该层还涵盖了客户可能与其他第三方解决方案和应用程序 [例如 CRM 系统、人力资源管理 (WFM) 以及报告、可视化工具和应用程序（例如 Tableau 和 Kibana）] 的集成。在保护外部层时，您应考虑以下事项：
   + 您可以使用在流程中向 DynamoDB 写入[联系人详细信息（包括 ANI、点击拨号和聊天终端节点的 IP 地址，以及任何其他用于跟踪给定时间段内发生的联系请求数量的识别信息），为重复和欺诈性联系人创建联系人过滤器](https://aws.amazon.com/blogs/contact-center/how-to-protect-against-spam-calls-for-click-to-dial/)。 AWS Lambda 这种方法允许您查询联系人并将其添加到拒绝列表中，如果联系人超过合理级别，则自动断开其连接。
   + 使用 [Connect Customer 电话元数据](connect-attrib-list.md#telephony-call-metadata-attributes)的 ANI 欺诈检测[解决方案和合作伙伴解决方案](https://aws.amazon.com/connect/partners/)可用于防范来电显示欺骗。
   + [Connect Customer Voice ID](voice-id.md) 和其他语音生物识别合作伙伴解决方案可用于增强和简化身份验证流程。主动语音生物识别身份验证允许联系人选择说出特定的短语，并使用这些短语进行语音签名身份验证。被动语音生物识别允许联系人注册其唯一声纹，并使用其声纹对任何符合身份验证的足够长度要求的语音输入进行身份验证。
   + 维护 Connect Customer 控制台中的[应用程序集成](app-integration.md)部分，以便将任何第三方应用程序或集成点添加到您的许可名单中，并删除未使用的端点。
   + 仅将满足最低要求所需的数据发送到处理敏感数据的外部系统。例如，如果您只有一个业务部门使用您的通话录音分析解决方案，则可以在 S3 存储桶中设置 AWS Lambda 触发器来处理联系记录，在联系记录数据中检查该业务部门的特定队列，如果是属于该部门的队列，则仅将该通话录音发送到外部解决方案。使用这种方法，您只需发送必要的数据，从而可避免与处理不必要的录音相关的成本和开销。

     有关使 Connect 客户能够与 Amazon Kinesis 和 Amazon Redshift 通信以支持流式传输联系人记录的集成，请参阅 [Connect 客户集成](https://aws.amazon.com/quickstart/connect/data-streaming/)：数据流。

## 资源
<a name="securityvectors-resources-bp"></a>

**文档**
+ [AWS 云安全](https://aws.amazon.com/security/) 
+ [Connect 客户的安全性](security.md)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS 合规](https://aws.amazon.com/compliance/)
+ [AWS 安全博客](https://aws.amazon.com/blogs/security/)

**文章**
+ [安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) 
+ [AWS 安全简介](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/introduction-aws-security.pdf)
+ [AWS 安全最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/) 

**视频**
+ [AWS 国情安全国情咨文](https://www.youtube.com/watch?v=Wvyc-VEUOns) 
+  [AWS 合规——责任共担模型](https://www.youtube.com/watch?v=U632-ND7dKQ) 