Zendesk 提供了一系列安全选项,您可用来确保私密信息受到保护。本文章介绍了一般的安全性最佳实践,以帮助您入门。强烈建议您对专员和管理员进行培训,使其遵循最佳实践,以确保环境安全。
有关我们建议在您的实例中实施的安全最佳实践的详细列表,请参阅 Zendesk Suite产品控制和推荐指南 。
如对 Zendesk 实例的安全性有疑问,请直接联系 Zendesk。如果发生疑似安全漏洞,请提交标题为“安全”并注明详情的工单。您也可以发送电邮到 security@zendesk.com。
提高专员的密码安全性
Zendesk 提供了四个 密码安全级别:推荐、高、中等和低。您还可以指定自定义安全级别。管理员可为终端用户设置一个密码安全级别,为专员和管理员设置另一个密码安全级别。
Zendesk 强烈建议为团队成员和终端用户设置建议密码安全级别,以保护您的帐户。此安全级别基于安全最佳实践和行业标准,配置了严格的密码要求、已知泄露密码检查。
提高专员的密码要求,以防未经授权的用户猜到专员的密码。您还应要求管理员和专员为其 Zendesk 帐户选择唯一的密码,避免在外部系统中重复使用密码。
鼓励专员监测自己的帐户。Zendesk 将在专员密码更改后向其发送电邮通知。此外,专员可通过 启用新设备登录电邮警报, 方便地监测其帐户。如果您发现来自可疑设备的新登录信息,请移除该设备以结束用户会话,然后选择一个新密码。
需要对专员和管理员 进行双重身份验证, 以获得另一层安全保护。建议发送带有 使用双重身份验证 文章链接的消息给您的支持团队。
考虑使用密码管理器,例如 1Password 或 LastPass。密码管理器帮助您生成可用于您所有其他网站的单一强密码。
切勿泄露用户名、电邮地址或密码
Zendesk 专员和管理员切勿泄露用户名、电邮地址或密码。
如果您使用标准 Zendesk 登录身份验证,重置密码的唯一安全方法是让用户单击 Zendesk 登录屏幕上的 忘记密码 链接。这会提示用户输入有效的电邮地址(已在您的帐户中验证为合法用户)。提交后,他们将收到一封含有重置密码链接的电邮。
如果您使用的是第三方单点登录身份验证系统,例如 Active Directory、Open Directory、LDAP 或 SAML,可通过这些服务以类似方式重置密码。
黑客有时会使用社交工程技术来迫使人们提供帐户密码。一些黑客使用欺骗电邮地址的工具来冒充来自合法电邮域名的用户。因此,用户发出的看似合法电邮请求实际可能并非如此。
如果自称用户或管理员的人联系您,请记下其 IP 地址(显示在工单 的活动日志视图 中),并单独验证其身份(例如,拨打其用户个人资料中的电话号码)。如有疑问,请勿代表他人提供敏感信息或更改帐户。合法用户可更改其自己的帐户设置。
让您的专员了解这些类型的安全风险。此外,创建一个每个人都知道的安全策略,以便在发生这些事件时可以参考。
限制具有管理员访问权限的专员数量
管理员可访问 Zendesk 帐户中普通专员无法访问的部分。您可以通过限制具有管理员访问权限的专员数量来降低安全风险。专员用户角色提供一般专员管理和解决工单所需的访问权限。
您可以选择预定义的专员用户角色,为专员授予额外权限。在 Enterprise 服务模式中,您还可以创建自己的 自定义专员用户角色 ,并决定该专员用户角色可以访问和管理 Zendesk 的哪些部分。这些权限有限。例如,只有帐户所有者和管理员有权访问安全设置。
如果您担心专员访问关于您终端用户的信息,可以创建一个角色,但不允许专员编辑终端用户个人资料或查看您所有终端用户的列表。
限制对工单中私密信息的访问
通过单点登录对用户进行远程身份验证
除 Zendesk 提供的用户身份验证外,您还可以使用单点登录,在 Zendesk 以外对您的用户进行身份验证。有两个 SSO 选项:社交媒体单点登录和企业单点登录。
社交媒体单点登录允许客户使用其 Zendesk 帐户或社交媒体帐户(例如 Google 或 Microsoft)登录。这些选项虽然很方便,但我们建议您取消激活不必要的社交登录名。
企业单点登录可绕过 Zendesk,在外部对您的用户进行身份验证。导航到您的 Zendesk 登录页面或单击您的 Zendesk 帐户访问链接后,用户可登录公司服务器或通过第三方身份提供者(例如 OneLogin 或 Okta)进行身份验证。
在提供企业或社交媒体单点登录时,建议利用这些服务提供的双重身份验证(也称为多重身份验证)。这样就要求提供额外的身份证明,从而增添了另一层保护。如果您使用的是 JWT 或 SAML,则需要为 Zendesk 帐户进行相应设置。对于社交媒体单点登录,您的用户需要自己进行设置。所有这些服务都提供了设置所需的文档。
专员和终端用户可以使用不同的方式对自己进行身份验证。您可以通过为专员创建更严格的身份验证策略,同时提供方便的客户和终端用户访问权限,来保护Zendesk Support 的安全。
监测帐户审核日志
审核日志 跟踪对您的帐户进行的重要更改。使用审核日志可以监测各种安全事件,例如用户被阻止、密码政策更改、客户数据导出、自定义用户角色定义更改等。
如果使用 REST API,限制访问或遵循安全编码实践
您可以使用 Zendesk REST API 和 Zendesk App Framework 扩展Zendesk Support实例的功能。
如果您想扩展 Zendesk 实例,我们强烈建议您遵循安全编码最佳实践。开放网络应用程序安全项目 (OWASP) 是一个很好的参考,详见 此处。
提供一个用于安全通知的电邮地址
如果有安全事件影响到您的服务数据,在规定的时间内通知客户是 Zendesk 的首要任务,也是法律义务。添加您组织中应收到安全事件通知的安全联系人或组的电邮地址。请参阅指定电邮地址以接收所需的安全通知。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。
4 条评论
Satoshi Sugiyama
お世話になっております、トーチライトの杉山と申します。
ZENDESKのセキュリティー強化を目的とした質問です。
例えば、全ユーザーのパスワードを6カ月に強制的に変更させることなどは可能でしょうか? 可能でしたらその方法を教えて頂きたく、何卒よろしくお願いいたします。
例)1ヶ月前からパスワード変更の告知をする。
1ヶ月後経っても、パスワードを変更しない方をログインできなくする
などなど
できましたら当社のシステム部の力を借りなくても、
簡単にできるアプリなどがあれば幸いです。
ご教示頂けますよう、何卒よろしくお願い申し上げます。
0
Matthew Feczko
Hi Cheeny Aban if that's the case, can you please update the original post above and call that out specifically? FYI David McCarthy
0
Cheeny Aban
Hi Matthew,
Talk will not work with a VPN setup due to a service that runs in the background called GLL. This service decides on the best network path to run the call through. If you use either of these it will not give the true location of your agents and as such cannot route the call efficiently, potentially leading to latency and other call quality issues. If you must use a VPN or Proxy or MPLS, please exclude traffic for the Zendesk / Twilio domains (including your FQDN subdomain.zendesk.com) and the IP addresses listed in this article to run through VPN. Note: Zendesk Talk is not compatible with virtual desktop environments. For more information, you may check Talk network requirements.
All the best!
0
Matthew Feczko
Would you be able to call out whether you recommend configuring a VPN or not? Historically I believe this was required from a best practices security perspective. But is this still the case? Does VPN work with Talk and Zendesk in general?
0
登录再写评论。