Zendesk 提供了一系列安全选项,您可以使用这些选项来确保私密信息受到保护。本文章介绍了一般安全最佳实践,以帮助您入门。我们强烈建议您对专员和管理员进行培训,使其遵循最佳实践,以确保环境安全。
有关我们建议在您的实例中实施的安全最佳实践的详细列表,请参阅 Zendesk Suite 可操作安全指南 。
如果您对 Zendesk 实例的安全性有疑问,请直接联系 Zendesk。如果出现疑似安全漏洞,请提交工单,标题为“安全”,并附有详情。或者,您可以发送电邮到 security@zendesk.com。
提高专员的密码安全性
Zendesk 提供四个 密码安全级别:推荐、高、中和低。您还可以指定自定义安全级别。管理员可以为终端用户设置一个密码安全级别,为专员和管理员设置另一个。
Zendesk 强烈建议为团队成员和终端用户设置推荐密码安全级别,以保护您的帐户。此安全级别配置有严格的密码要求,检查已知的已泄露密码,并基于安全最佳实践和行业标准。
提高专员的密码要求,以防止未经授权的用户猜到您专员的密码。您还应要求管理员和专员为其 Zendesk 帐户选择唯一的密码,避免将密码重复用于外部系统。
鼓励专员监测其自己的帐户。Zendesk 将在专员的密码更改时向其发送电邮通知。此外,专员可 启用从新设备登录时的电邮警报 ,方便地监测其帐户。如果您看到来自可疑设备的新登录名,请移除该设备以结束用户的会话,然后选取一个新密码。
专员和管理员需要 双重身份验证 ,以获得另一层安全。我们建议您发送消息给您的支持团队,并附上 使用双重身份验证 文章的链接。
考虑使用密码管理器,例如 1Password 或 LastPass。密码管理器可帮助您生成一个可用于所有其它网站的强密码。
切勿泄露用户名、电邮地址或密码
Zendesk 专员和管理员切勿泄露用户名、电邮地址或密码。
如果您使用的是标准 Zendesk 登录身份验证,重置密码的唯一安全方法是让用户单击 Zendesk 登录屏幕上的“ 忘记密码 ”链接。这将提示用户输入有效的电邮地址(该地址已在您的帐户中验证为合法用户)。提交后,他们将收到一封含有重置密码链接的电邮。
如果您使用的是第三方单点登录身份验证系统,例如 Active Directory、Open Directory、LDAP 或 SAML,则可以通过这些服务类似地重置密码。
黑客有时会使用社交工程技术来迫使人们提供帐户密码。一些黑客使用欺骗电邮地址的工具来模拟来自合法电邮域名的用户。因此,用户看似合法的电邮请求可能并非来自该实际地址。
如果有人自称是用户或管理员联系您,请记下 IP 地址(显示在工单的 活动日志视图 中),并独立验证其身份(例如,拨打其用户个人资料中的电话号码)。如有疑问,切勿提供敏感信息或代表他人更改帐户。合法用户可更改其自己的帐户设置。
让您的专员了解这些类型的安全风险。此外,创建一个每个人都知道并在发生这些事件时可以参考的安全策略。
限制具有管理员访问权限的专员数量
管理员可以访问您 Zendesk 帐户的某些部分,这是普通专员无法做到的。您可以通过限制具有管理员访问权限的专员数量来降低安全风险。专员用户角色提供了一般专员管理和解决工单所需的访问权限。
您可以选择预定义的专员用户角色,向专员授予额外的权限。在 Enterprise 服务模式中,您还可以创建自己的 自定义专员用户角色 ,并决定该专员用户角色可以访问和管理 Zendesk 的哪些部分。这些权限是有限的。例如,只有帐户所有者和管理员可以访问安全设置。
如果您担心专员访问您的终端用户信息,您可以创建一个不允许其编辑终端用户个人资料或查看您所有终端用户列表的用户角色。
限制对工单中私密信息的访问
使用单点登录远程对用户进行身份验证
除了 Zendesk 提供的用户身份验证之外,您还可以使用单点登录,对 Zendesk 以外的用户进行身份验证。有两个 SSO 选项:社交媒体单点登录和企业单点登录。
社交媒体单点登录允许您的客户使用其 Zendesk 帐户或其一个社交媒体帐户(如 Google 或 Microsoft)登录。虽然这些选项很方便,但我们建议取消激活不必要的社交登录。
Enterprise 单点登录可绕过 Zendesk,对您的用户进行外部身份验证。导航到您的 Zendesk 登录页面或单击您的 Zendesk 帐户访问链接后,用户可登录公司服务器或通过第三方身份提供者(例如 OneLogin 或 Okta)进行身份验证。
在提供企业或社交媒体单点登录时,我们建议您利用这些服务提供的双重身份验证(也称为多重身份验证)。这需要额外的身份证明,从而增加了另一层保护。如果您使用的是 JWT 或 SAML,则需要为您的 Zendesk 帐户进行设置。对于社交媒体单点登录,您的用户需要自己进行设置。所有这些服务都提供了设置所需的文档。
专员和终端用户可以有不同的方式进行身份验证。您可以通过为专员创建更严格的身份验证策略来保护 Zendesk Support,同时为您的客户和终端用户提供方便的访问权限。
监测帐户审核日志
审核日志 会跟踪对您帐户的重要更改。使用审核日志,您可以监测各种安全事件,例如用户被阻止、密码政策更改、客户数据导出、自定义用户角色定义的更改等等。
如果使用 REST API,则限制访问或遵循安全编码实践
您可以使用 Zendesk REST API 和 Zendesk 应用框架 来扩展您 Zendesk Support 实例的功能。
如果您想扩展您的 Zendesk 实例,我们强烈建议您遵循安全编码最佳实践。一个很好的参考是开放网络应用程序安全项目(OWASP),您可以在 这里找到。
提供用于安全通知的电邮地址
如果安全事件影响了您的服务数据,Zendesk 的首要法律义务是在规定的时间内通知我们的客户。添加您组织中应接收安全事件通知的安全联系人或组的电邮地址。请参阅指定电邮地址以接收所需的安全通知。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。