Přehled zabezpečení služby Azure Communications Gateway

  • Článek

Zpracování služby Azure Communications Gateway o zákaznických datech je možné rozdělit na:

  • Data obsahu, jako jsou média pro hlasové hovory.
  • Zákaznická data zřízená ve službě Azure Communications Gateway nebo v metadatech volání.

Uchovávání dat, zabezpečení a šifrování neaktivních uložených dat

Azure Communications Gateway neukládá data obsahu, ale ukládá zákaznická data.

  • Zákaznická data zřízená ve službě Azure Communications Gateway zahrnují konfiguraci čísel pro konkrétní komunikační služby. Je potřeba shodovat čísla s těmito komunikačními službami a (volitelně) provádět změny volání specifické pro čísla, jako je přidání vlastních hlaviček.
  • Dočasná zákaznická data z metadat volání se ukládají maximálně 30 dnů a používají se k poskytování statistik. Po 30 dnech už nejsou data z metadat volání přístupná k provádění diagnostiky nebo analýzy jednotlivých volání. Anonymizované statistiky a protokoly vytvořené na základě zákaznických dat jsou k dispozici po uplynutí 30 dnů.

Přístup vaší organizace ke službě Azure Communications Gateway se spravuje pomocí ID Microsoft Entra. Další informace o oprávněních, která vaši zaměstnanci potřebují, najdete v tématu Nastavení uživatelských rolí pro službu Azure Communications Gateway. Informace o ID Microsoft Entra s rozhraním API zřizování najdete v referenčních informacích k rozhraní API pro zřizování.

Azure Communications Gateway nepodporuje Customer Lockbox pro Microsoft Azure. Technici Microsoftu ale můžou přistupovat k datům pouze za běhu a pouze pro diagnostické účely.

Azure Communications Gateway ukládá všechna neaktivní uložená data bezpečně, včetně konfigurace zřízených zákazníků a čísel a jakýchkoli dočasných zákaznických dat, jako jsou záznamy volání. Azure Communications Gateway používá standardní infrastrukturu Azure s šifrovacími klíči spravovanými platformou k zajištění šifrování na straně serveru s řadou standardů zabezpečení, včetně FedRAMP. Další informace najdete v tématu šifrování neaktivních uložených dat.

Šifrování během přenosu

Veškerý provoz zpracovaný službou Azure Communications Gateway je šifrovaný. Toto šifrování se používá mezi komponentami služby Azure Communications Gateway a směrem k systému Microsoft Telefon.

  • Protokol SIP a provoz HTTP se šifrují pomocí protokolu TLS.
  • Přenosy médií se šifrují pomocí SRTP.

Při šifrování provozu, který se má posílat do vaší sítě, dává Azure Communications Gateway přednost TLSv1.3. V případě potřeby se vrátí zpět na TLSv1.2.

Certifikáty TLS pro SIP a HTTPS

Azure Communications Gateway používá pro SIP a HTTPS vzájemné tls, což znamená, že klient i server pro připojení navzájem ověřují.

Musíte spravovat certifikáty, které vaše síť prezentuje službě Azure Communications Gateway. Služba Azure Communications Gateway ve výchozím nastavení podporuje certifikát DigiCert Global Root G2 a kořenový certifikát Baltimore CyberTrust jako certifikáty kořenové certifikační autority (CA). Pokud certifikát, který vaše síť prezentuje službě Azure Communications Gateway, používá jiný kořenový certifikát certifikační autority, musíte tento certifikát poskytnout vašemu týmu při připojování služby Azure Communications Gateway k vašim sítím.

Spravujeme certifikát, který služba Azure Communications Gateway používá k připojení k vaší síti, Microsoft Telefon servery System a Zoom. Certifikát služby Azure Communications Gateway používá certifikát DigiCert Global Root G2 jako certifikát kořenové certifikační autority. Pokud vaše síť tento certifikát ještě nepodporuje jako kořenový certifikát certifikační autority, musíte tento certifikát stáhnout a nainstalovat při připojení služby Azure Communications Gateway k vašim sítím.

Šifrovací sady pro TLS (pro SIP a HTTPS) a SRTP

K šifrování protokolu SIP, HTTP a RTP se používají následující šifrovací sady.

Šifry používané s TLSv1.2 pro SIP a HTTPS

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Šifry používané s TLSv1.3 pro SIP a HTTPS

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Šifry používané s SRTP

  • AES_CM_128_HMAC_SHA1_80

Další kroky