Principales fonctionnalités de sécurité dans Skype Entreprise Server
Skype Entreprise Server inclut plusieurs fonctionnalités de sécurité, notamment l’authentification de serveur à serveur, le contrôle d’accès en fonction du rôle et le stockage centralisé des données de configuration.
Cet article fournit une vue d’ensemble générale de Skype Entreprise sécurité du serveur.
Principales fonctionnalités de sécurité dans Skype Entreprise Server
La sécurité est un sujet très large. La sécurité s’applique à toutes les fonctionnalités de Skype Entreprise Server, ainsi qu’aux bases de données, services et matériel qui constituent un écosystème Skype Entreprise Server. Cet article décrit certaines des fonctionnalités de Skype Entreprise Server en particulier conçues pour la sécurité.
Outils de planification et de conception
Skype Entreprise Server fournit deux outils pour faciliter la planification et la conception et réduire le risque de configuration incorrecte des composants Skype Entreprise Server.
L’outil de planification de la topologie automatise une grande partie du processus de conception de la topologie. Vous pouvez exporter les résultats de l’outil de planification vers le Générateur de topologie, qui est l’outil nécessaire pour installer chaque serveur exécutant Skype Entreprise Server.
Topology Builder stocke toutes les informations de configuration dans le magasin central de gestion.
Pour plus d’informations sur ces outils, consultez Skype Entreprise Server Management Tools.
Magasin central de gestion
Dans Skype Entreprise Server, les données de configuration sur les serveurs et les services font partie du magasin central de gestion. Le magasin de gestion centrale fournit un stockage robuste et schématisé des données nécessaires pour définir, configurer, gérer, administrer, décrire et utiliser un déploiement de serveur Skype Entreprise. Il valide également les données afin de garantir la cohérence de la configuration. Toutes les modifications apportées à ces données de configuration se produisent dans le magasin de gestion centrale, ce qui élimine les problèmes de « désynchronisation ».
Les copies en lecture seule des données sont répliquées sur tous les serveurs au sein de la topologie, y compris les serveurs de périphérie. La réplication est gérée par un service qui, par défaut, s’exécute sous le contexte du service Réseau, réduisant ainsi les droits et autorisations à ceux d’un simple utilisateur sur l’ordinateur.
Authentification de serveur à serveur
Dans Skype Entreprise Server, l’authentification peut être configurée entre les serveurs à l’aide du protocole OAuth (Open Authorization). Par exemple, vous pouvez configurer Skype Entreprise Server pour qu’il s’authentifie auprès d’un serveur qui s’exécute Microsoft Exchange Server 2016. À l’aide du protocole OAuth, le serveur Skype Entreprise et le Microsoft Exchange Server peuvent s’approuver mutuellement. Cela permet d’intégrer les produits de manière transparente. Pour plus d’informations, consultez Gérer l’authentification de serveur à serveur (OAuth) et les applications partenaires dans Skype Entreprise Server.
Gestion basée sur Windows PowerShell et interface de gestion web
Skype Entreprise Server fournit une interface de gestion puissante, basée sur l’interface de ligne de commande Windows PowerShell. Elle comprend des applets de commande pour la gestion de la sécurité ; les fonctionnalités de sécurité Windows PowerShell sont activées par défaut, de sorte que les utilisateurs ne puissent pas exécuter de scripts facilement ou inconsciemment. Cela signifie que les paramètres par défaut des logiciels sont configurés de façon à optimiser la sécurité et à réduire les itinéraires d’agression. Pour plus d’informations sur la prise en charge de la gestion windows PowerShell dans Skype Entreprise Server, consultez Skype Entreprise Server Management Shell.
Contrôle d’accès basé sur un rôle
Skype Entreprise Server fournit un contrôle d’accès en fonction du rôle (RBAC) pour vous permettre de déléguer des tâches d’administration tout en conservant des normes de sécurité élevées. Vous pouvez recourir au contrôle d’accès basé sur un rôle pour appliquer le principe du « privilège minimum » selon lequel les utilisateurs reçoivent uniquement les droits d’administration nécessaires à leur travail. Skype Entreprise Server permet de créer un rôle et de modifier un rôle existant.
Traduction d’adresses réseau (NAT)
Skype Entreprise Server ne prend pas en charge l’utilisation de la traduction d’adresses réseau (NAT) sur l’interface interne du serveur Edge, mais il prend en charge le placement de l’interface externe du service Access Edge, du service Edge de conférence web et du service Edge A/V derrière un routeur ou un pare-feu qui effectue la traduction d’adresses réseau (NAT) pour les topologies Edge Server consolidées uniques et mises à l’échelle. Plusieurs serveurs Edge derrière un équilibreur de charge matériel ne peuvent pas utiliser nat. Si plusieurs serveurs Edge utilisent NAT sur leurs interfaces externes, l’équilibrage de charge du système de noms de domaine (DNS) est requis. À son tour, l’utilisation de l’équilibrage de charge DNS vous permet de réduire le nombre d’adresses IP publiques par serveur Edge dans un pool de serveurs Edge. Pour plus d’informations, consultez les scénarios Edge Server dans Skype Entreprise Server.
Remarque
Si vous vous fédérer avec des entreprises qui ont un déploiement Microsoft Office Communications Server 2007 et que vous devez utiliser l’audio/vidéo entre votre entreprise et l’entreprise fédérée, les exigences de port sont celles de l’ancienne version des serveurs Edge déployés. Par exemple, les plages de ports requises pour ces versions antérieures doivent être ouvertes pour les deux entreprises jusqu’à ce que le partenaire fédéré met à niveau ses serveurs Edge vers Skype Entreprise Server. Les exigences relatives aux ports peuvent alors être réévaluées et réduites, conformément à la nouvelle configuration.
Certificats simplifiés pour les serveurs Edge
L’Assistant Déploiement peut remplir automatiquement les noms du sujet et les autres noms du sujet, réduisant le risque d’inclusion d’entrées inutiles et éventuellement non sécurisées.
SDL (Trustworthy Computing Security Development Lifecycle)
Skype Entreprise Server est conçu et développé conformément au SDL (Trustworthy Computing Security Development Lifecycle) de Microsoft Trustworthy Computing.
Trustworthy by Design La première étape de la création d’un système de communication unifié plus sécurisé a été de concevoir des modèles de menace et de tester chaque fonctionnalité telle qu’elle a été conçue. En outre, Microsoft effectue des tests en dehors du comportement conçu afin de rechercher les vulnérabilités de sécurité résultant d’un comportement inattendu du produit. Plusieurs améliorations liées à la sécurité ont été intégrées dans le processus et les pratiques de codage. Au moment de la création, des outils détectent les dépassements de mémoire tampon et d’autres risques de sécurité potentiels avant l’archivage du code dans le produit final. Bien entendu, il est impossible de concevoir un produit capable de contrer toutes les menaces de sécurité encore inconnues. Aucun système ne saurait garantir une sécurité à toute épreuve. Toutefois, étant donné que le développement de produits a adopté les principes de conception sécurisée dès le début, Skype Entreprise Server intègre les technologies de sécurité standard du secteur comme élément fondamental de son architecture.
Digne de confiance par défaut Par défaut, les communications réseau dans Skype Entreprise Server sont chiffrées. Étant donné que tous les serveurs utilisent des certificats et l’authentification Kerberos, TLS, SRTP (Secure Real-Time Transport Protocol) et d’autres techniques de chiffrement standard, notamment le chiffrement AES (Advanced Encryption Standard) 128 bits, pratiquement toutes les données de serveur Skype Entreprise sont protégées sur le réseau. En outre, le contrôle d’accès en fonction du rôle permet de déployer des serveurs exécutant Skype Entreprise Server afin que chaque rôle de serveur exécute uniquement les services et dispose uniquement des autorisations associées à ces services, appropriées pour le rôle serveur.
Digne de confiance par déploiement Toute la documentation Skype Entreprise Server inclut les meilleures pratiques et recommandations pour vous aider à déterminer et à configurer les niveaux de sécurité optimaux pour votre déploiement et à évaluer les risques de sécurité liés à l’activation d’options non par défaut.