Principales fonctionnalités de sécurité dans Skype Entreprise Server
Skype Entreprise Server comprend plusieurs fonctionnalités de sécurité, notamment l’authentification de serveur à serveur, le contrôle d’accès en fonction du rôle et le stockage centralisé des données de configuration.
Cet article fournit une vue d’ensemble générale de la sécurité Skype Entreprise Server.
Principales fonctionnalités de sécurité dans Skype Entreprise Server
La sécurité est un sujet très large. La sécurité s’étend à toutes les fonctionnalités de Skype Entreprise Server ainsi qu’aux bases de données, services et matériels qui constituent un écosystème Skype Entreprise Server. Cet article décrit certaines des fonctionnalités de Skype Entreprise Server en particulier qui sont conçues pour la sécurité.
Outils de planification et de conception
Skype Entreprise Server fournit deux outils pour faciliter la planification et la conception et réduire le risque de configuration incorrecte des composants Skype Entreprise Server.
L’outil de planification de la topologie automatise une grande partie du processus de conception de topologie. Vous pouvez exporter les résultats de l’outil de planification vers le Générateur de topologie, qui est l’outil requis pour installer chaque serveur exécutant Skype Entreprise Server.
Le générateur de topologie stocke toutes les informations de configuration dans le magasin central de gestion.
Pour plus d’informations sur ces outils, consultez Skype Entreprise Server Outils de gestion.
Magasin central de gestion
Dans Skype Entreprise Server, les données de configuration relatives aux serveurs et services font partie du magasin central de gestion. Le magasin central de gestion fournit un stockage robuste et schématisé des données nécessaires à la définition, à la configuration, à la maintenance, à l’administration, à la description et au fonctionnement d’un déploiement Skype Entreprise Server. Il valide également les données afin de garantir la cohérence de la configuration. Toutes les modifications apportées à ces données de configuration se produisent dans le magasin central de gestion, ce qui élimine les problèmes « non synchronisés ».
Les copies en lecture seule des données sont répliquées sur tous les serveurs au sein de la topologie, y compris les serveurs Edge et les serveurs Survivable Branch Appliance. La réplication est gérée par un service exécuté par défaut dans le contexte du service réseau, ce qui limite les droits et autorisations à ceux d’un simple utilisateur sur l’ordinateur.
Authentification serveur à serveur
Dans Skype Entreprise Server, l’authentification peut être configurée entre les serveurs à l’aide du protocole Open Authorization (OAuth). Par exemple, vous pouvez configurer Skype Entreprise Server pour l’authentification auprès d’un serveur qui exécute Microsoft Exchange Server 2016. À l’aide du protocole OAuth, les Skype Entreprise Server et les Microsoft Exchange Server peuvent se faire confiance. Cela permet d’intégrer les produits de façon transparente. Pour plus d’informations, consultez Gérer l’authentification de serveur à serveur (OAuth) et les applications partenaires dans Skype Entreprise Server.
Interface de gestion Windows PowerShell et web
Skype Entreprise Server fournit une interface de gestion puissante, basée sur l’interface de ligne de commande Windows PowerShell. Il inclut des applets de commande pour la gestion de la sécurité, et Windows PowerShell fonctionnalités de sécurité sont activées par défaut afin que les utilisateurs ne puissent pas facilement ou sans le savoir exécuter des scripts. Cela signifie que les valeurs logicielles par défaut sont définies pour aider automatiquement à optimiser la sécurité et à réduire les avenues d’attaque. Pour plus d’informations sur la prise en charge de la gestion des Windows PowerShell dans Skype Entreprise Server, consultez Skype Entreprise Server Management Shell.
Contrôle d’accès basé sur un rôle (RBAC)
Skype Entreprise Server fournit un contrôle d’accès en fonction du rôle (RBAC) pour vous permettre de déléguer des tâches administratives tout en conservant des normes élevées en matière de sécurité. You can use RBAC to follow the principle of "least privilege," in which users are given only the administrative rights that their jobs require. Skype Entreprise Server permet de créer un rôle et de modifier un rôle existant.
Traduction d’adresses réseau (NAT)
Skype Entreprise Server ne prend pas en charge l’utilisation de la traduction d’adresses réseau (NAT) sur l’interface interne du serveur Edge, mais elle prend en charge le placement de l’interface externe du service Edge Access, du service Edge de conférence web et du service Edge A/V derrière un routeur ou un pare-feu qui effectue la traduction d’adresses réseau (NAT) pour les topologies de serveur Edge consolidées uniques et mises à l’échelle. S’il y a plusieurs serveurs Edge utilisant un programme d’équilibrage de la charge matérielle, ils ne peuvent pas utiliser la traduction d’adresses réseau. Si plusieurs serveurs Edge utilisent la traduction d’adresses réseau sur leurs interfaces externes, l’équilibrage de la charge DNS (Domain Name System) est requise. L’utilisation de l’équilibrage de la charge DNS vous permet de réduire le nombre d’adresses IP publiques par serveur Edge dans un pool de serveurs Edge. Pour plus d’informations, consultez Scénarios de serveur Edge dans Skype Entreprise Server.
Remarque
Si vous vous fédérez avec des entreprises qui ont un déploiement de Microsoft Office Communications Server 2007 et que vous devez utiliser l’audio et la vidéo entre votre entreprise et une entreprise fédérée, les ports utilisés seront ceux de l’ancienne version des serveurs Edge déployés. Par exemple, les plages de ports requises pour ces versions antérieures doivent être ouvertes pour les deux entreprises jusqu’à ce que le partenaire fédéré met à niveau ses serveurs Edge vers Skype Entreprise Server. Les exigences relatives aux ports peuvent alors être réévaluées et réduites, conformément à la nouvelle configuration.
Certificats simplifiés pour les serveurs Edge
L’Assistant Déploiement peut renseigner automatiquement les noms du sujet et les autres noms du sujet, et minimiser ainsi la possibilité d’inclure des entrées inutiles et éventuellement non sécurisées.
Cycle de développement d’une sécurité informatique fiable
Skype Entreprise Server est conçu et développé conformément au microsoft Trustworthy Computing Security Development Lifecycle (SDL).
Digne de confiance par conception La première étape de la création d’un système de communications unifiées plus sécurisé a été de concevoir des modèles de menace et de tester chaque fonctionnalité telle qu’elle a été conçue. De plus, Microsoft effectue des tests sur des comportements anormaux afin de détecter les failles de sécurité résultant d’un comportement inattendu du produit. Plusieurs améliorations liées à la sécurité ont été intégrées au processus et aux pratiques de codage. Au moment de la création, des outils détectent les dépassements de mémoire tampon et d’autres risques de sécurité potentiels avant l’archivage du code dans le produit final. Bien sûr, il est impossible de prévoir toutes les menaces de sécurités inconnues lors de la conception. Aucun système ne peut garantir une sécurité totale. Toutefois, étant donné que le développement de produits a adopté les principes de conception sécurisée dès le départ, Skype Entreprise Server incorpore des technologies de sécurité standard comme partie fondamentale de son architecture.
Fiable par défaut Par défaut, les communications réseau dans Skype Entreprise Server sont chiffrées. Étant donné que tous les serveurs utilisent des certificats et l’authentification Kerberos, TLS, SRTP (Secure Real-Time Transport Protocol) et d’autres techniques de chiffrement standard, y compris le chiffrement AES (Advanced Encryption Standard) 128 bits, pratiquement toutes les données Skype Entreprise Server sont protégées sur le réseau. En outre, le contrôle d’accès en fonction du rôle permet de déployer des serveurs exécutant Skype Entreprise Server afin que chaque rôle serveur exécute uniquement les services et dispose uniquement des autorisations associées à ces services, qui sont appropriées pour le rôle serveur.
Fiable par déploiement Toute la documentation Skype Entreprise Server comprend des bonnes pratiques et des recommandations pour vous aider à déterminer et configurer les niveaux de sécurité optimaux pour votre déploiement et à évaluer les risques de sécurité liés à l’activation d’options autres que les options par défaut.