Az Azure Communications Gateway biztonságának áttekintése

  • Cikk

Az Ügyféladatok Azure Communications Gateway-kezelői a következőre oszthatók fel:

  • Tartalomadatok, például hanghívások médiatartalmai.
  • Az Azure Communications Gatewayen kiépített vagy a hívás metaadataiban lévő ügyféladatok.

Adatmegőrzés, adatbiztonság és titkosítás inaktív állapotban

Az Azure Communications Gateway nem tárol tartalomadatokat, de ügyféladatokat tárol.

  • Az Azure Communications Gatewayen kiosztott ügyféladatok számokat konfigurálnak adott kommunikációs szolgáltatásokhoz. Meg kell egyeznie a számokkal ezekhez a kommunikációs szolgáltatásokhoz, és (opcionálisan) számspecifikus módosításokat kell végeznie a hívásokon, például egyéni fejléceket kell hozzáadnia.
  • A hívás metaadataiból származó ideiglenes ügyféladatok legfeljebb 30 napig tárolhatók, és statisztikai adatok megadására szolgálnak. 30 nap elteltével a hívás metaadataiból származó adatok már nem érhetők el az egyes hívások diagnosztikája vagy elemzése gombra. Az ügyféladatok alapján létrehozott anonimizált statisztikák és naplók a 30 napos korlát után érhetők el.

A szervezet Azure Communications Gatewayhez való hozzáférését a Microsoft Entra ID használatával felügyeljük. Az alkalmazottak számára szükséges engedélyekkel kapcsolatos további információkért lásd : Felhasználói szerepkörök beállítása az Azure Communications Gatewayhez. A Microsoft Entra-azonosítóval és a Provisioning API-val kapcsolatos információkért tekintse meg a Kiépítési API API-referenciáját .

Az Azure Communications Gateway nem támogatja a Microsoft Azure-hoz készült ügyfélzárolást. A Microsoft mérnökei azonban csak időben és csak diagnosztikai célból férhetnek hozzá az adatokhoz.

Az Azure Communications Gateway biztonságosan tárolja az összes adatot inaktív állapotban, beleértve a kiépített ügyfél- és számkonfigurációt, valamint az ideiglenes ügyféladatokat, például a hívásrekordokat. Az Azure Communications Gateway szabványos Azure-infrastruktúrát használ platform által felügyelt titkosítási kulcsokkal, hogy a kiszolgálóoldali titkosítás megfeleljen számos biztonsági szabványnak, például a FedRAMP-nek. További információ: inaktív adatok titkosítása.

Titkosítás az átvitel során

Az Azure Communications Gateway által kezelt összes forgalom titkosítva van. Ezt a titkosítást az Azure Communications Gateway összetevői és a Microsoft Telefon rendszer felé használják.

  • A SIP- és HTTP-forgalom TLS használatával van titkosítva.
  • A médiaforgalom SRTP használatával van titkosítva.

A hálózatra küldendő forgalom titkosításakor az Azure Communications Gateway a TLSv1.3-at részesíti előnyben. Szükség esetén visszaesik a TLSv1.2-be.

TLS-tanúsítványok SIP-hez és HTTPS-hez

Az Azure Communications Gateway kölcsönös TLS-t használ a SIP-hez és a HTTPS-hez, ami azt jelenti, hogy mind az ügyfél, mind a kapcsolat kiszolgálója ellenőrzi egymást.

A hálózat által az Azure Communications Gatewaynek beterjesztett tanúsítványokat kezelnie kell. Az Azure Communications Gateway alapértelmezés szerint támogatja a DigiCert Global Root G2 tanúsítványt és a Baltimore CyberTrust főtanúsítványát főtanúsítványként (CA). Ha a hálózat által az Azure Communications Gatewaynek beterjesztett tanúsítvány egy másik legfelső szintű hitelesítésszolgáltatói tanúsítványt használ, ezt a tanúsítványt meg kell adnia az előkészítési csapatnak, amikor csatlakoztatja az Azure Communications Gatewayt a hálózatokhoz.

Az Azure Communications Gateway által a hálózathoz, Microsoft Telefon rendszer- és zoomkiszolgálókhoz való csatlakozáshoz használt tanúsítványt kezeljük. Az Azure Communications Gateway tanúsítványa a DigiCert Global Root G2 tanúsítványt használja fő hitelesítésszolgáltatói tanúsítványként. Ha a hálózat még nem támogatja ezt a tanúsítványt fő hitelesítésszolgáltatói tanúsítványként, akkor az Azure Communications Gateway hálózathoz való csatlakoztatásakor le kell töltenie és telepítenie kell ezt a tanúsítványt.

Titkosítási csomagok TLS-hez (SIP-hez és HTTPS-hez) és SRTP-hez

A következő titkosítási csomagok az SIP, a HTTP és az RTP titkosítására szolgálnak.

A TLSv1.2-vel SIP-hez és HTTPS-hez használt titkosítások

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

SIP-hez és HTTPS-hez használt TLSv1.3-hoz használt titkosítások

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

SRTP-vel használt titkosítások

  • AES_CM_128_HMAC_SHA1_80

További lépések