Introducción a la seguridad de Azure Communications Gateway
Los identificadores de Azure Communications Gateway de datos del cliente se pueden dividir en:
- Datos de contenido, como medios para llamadas de voz.
- Los datos del cliente aprovisionados en Azure Communications Gateway o presentes en metadatos de llamada.
Retención de datos, seguridad de datos y cifrado en reposo
Azure Communications Gateway no almacena datos de contenido, pero almacena los datos de los clientes.
- Los datos del cliente aprovisionados en Azure Communications Gateway incluyen la configuración de números para servicios de comunicaciones específicos. Es necesario hacer coincidir números con estos servicios de comunicaciones y (opcionalmente) realizar cambios específicos del número en las llamadas, como agregar encabezados personalizados.
- Los datos temporales del cliente de los metadatos de llamada se almacenan durante un máximo de 30 días y se usan para proporcionar estadísticas. Después de 30 días, los datos de los metadatos de llamadas ya no son accesibles para realizar diagnósticos o análisis de llamadas individuales. Las estadísticas y los registros anónimos generados en función de los datos del cliente están disponibles después del límite de 30 días.
El acceso de la organización a Azure Communications Gateway se administra mediante el identificador de Microsoft Entra. Para más información sobre los permisos que necesita el personal, consulte Configuración de roles de usuario para Azure Communications Gateway. Para obtener información sobre microsoft Entra ID con la API de aprovisionamiento, consulte la referencia de API para la API de aprovisionamiento.
Azure Communications Gateway no admite caja de seguridad del cliente para Microsoft Azure. Sin embargo, los ingenieros de Microsoft solo pueden acceder a los datos de forma just-in-time y solo con fines de diagnóstico.
Azure Communications Gateway almacena todos los datos en reposo de forma segura, incluida la configuración de número y el cliente aprovisionado y los datos temporales del cliente, como los registros de llamadas. Azure Communications Gateway usa la infraestructura de Azure estándar, con claves de cifrado administradas por la plataforma, para proporcionar cifrado del lado servidor compatible con una gama de estándares de seguridad, incluido FedRAMP. Para obtener más información, consulte cifrado de datos en reposo.
Cifrado en tránsito
Todo el tráfico controlado por Azure Communications Gateway está cifrado. Este cifrado se usa entre los componentes de Azure Communications Gateway y hacia Teléfono Microsoft System.
- El tráfico SIP y HTTP se cifran mediante TLS.
- El tráfico multimedia se cifra mediante SRTP.
Al cifrar el tráfico que se va a enviar a la red, Azure Communications Gateway prefiere TLSv1.3. Vuelve a TLSv1.2 si es necesario.
Certificados TLS para SIP y HTTPS
Azure Communications Gateway usa TLS mutuo para SIP y HTTPS, lo que significa que tanto el cliente como el servidor para la conexión se comprueban entre sí.
Debe administrar los certificados que la red presenta a Azure Communications Gateway. De forma predeterminada, Azure Communications Gateway admite el certificado DigiCert Global Root G2 y el certificado Baltimore CyberTrust Root como certificados de entidad de certificación raíz (CA). Si el certificado que presenta la red a Azure Communications Gateway usa un certificado de entidad de certificación raíz diferente, debe proporcionar este certificado al equipo de incorporación al conectar Azure Communications Gateway a las redes.
Administramos el certificado que usa Azure Communications Gateway para conectarse a la red, Teléfono Microsoft servidores del sistema y zoom. El certificado de Azure Communications Gateway usa el certificado G2 raíz global de DigiCert como certificado de entidad de certificación raíz. Si la red aún no admite este certificado como certificado de entidad de certificación raíz, debe descargar e instalar este certificado al conectar Azure Communications Gateway a las redes.
Conjuntos de cifrado para TLS (para SIP y HTTPS) y SRTP
Los siguientes conjuntos de cifrado se usan para cifrar SIP, HTTP y RTP.
Cifrados usados con TLSv1.2 para SIP y HTTPS
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Cifrados usados con TLSv1.3 para SIP y HTTPS
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Cifrados usados con SRTP
- AES_CM_128_HMAC_SHA1_80
Pasos siguientes
- Lea la línea de base de seguridad de Azure Communications Gateway.
- Más información sobre los roles de usuario para Azure Communications Gateway
- Más información sobre cómo planear una implementación de Azure Communications Gateway