Gambaran umum keamanan untuk Azure Communications Gateway
Data pelanggan yang ditangani Azure Communications Gateway dapat dibagi menjadi:
- Data konten, seperti media untuk panggilan suara.
- Data pelanggan yang disediakan di Azure Communications Gateway atau ada dalam metadata panggilan.
Retensi data, keamanan data, dan enkripsi saat tidak aktif
Azure Communications Gateway tidak menyimpan data konten, tetapi menyimpan data pelanggan.
- Data pelanggan yang disediakan di Azure Communications Gateway mencakup konfigurasi angka untuk layanan komunikasi tertentu. Diperlukan untuk mencocokkan nomor dengan layanan komunikasi ini dan (opsional) membuat perubahan khusus nomor pada panggilan, seperti menambahkan header kustom.
- Data pelanggan sementara dari metadata panggilan disimpan selama maksimal 30 hari dan digunakan untuk memberikan statistik. Setelah 30 hari, data dari metadata panggilan tidak lagi dapat diakses untuk melakukan diagnostik atau analisis panggilan individual. Statistik dan log anonim yang dihasilkan berdasarkan data pelanggan tersedia setelah batas 30 hari.
Akses organisasi Anda ke Azure Communications Gateway dikelola menggunakan ID Microsoft Entra. Untuk informasi selengkapnya tentang izin yang dibutuhkan staf Anda, lihat Menyiapkan peran pengguna untuk Azure Communications Gateway. Untuk informasi tentang ID Microsoft Entra dengan API Provisi, lihat Referensi API untuk API Provisi.
Azure Communications Gateway tidak mendukung Customer Lockbox untuk Microsoft Azure. Namun teknisi Microsoft hanya dapat mengakses data secara just-in-time, dan hanya untuk tujuan diagnostik.
Azure Communications Gateway menyimpan semua data tidak aktif dengan aman, termasuk konfigurasi pelanggan dan nomor yang disediakan dan data pelanggan sementara apa pun, seperti rekaman panggilan. Azure Communications Gateway menggunakan infrastruktur Azure standar, dengan kunci enkripsi yang dikelola platform, untuk menyediakan enkripsi sisi server yang sesuai dengan berbagai standar keamanan termasuk FedRAMP. Untuk informasi selengkapnya, lihat enkripsi data tidak aktif.
Enkripsi saat transit
Semua lalu lintas yang ditangani oleh Azure Communications Gateway dienkripsi. Enkripsi ini digunakan antara komponen Azure Communications Gateway dan menuju Sistem Microsoft Telepon.
- Lalu lintas SIP dan HTTP dienkripsi menggunakan TLS.
- Lalu lintas media dienkripsi menggunakan SRTP.
Saat mengenkripsi lalu lintas untuk dikirim ke jaringan Anda, Azure Communications Gateway lebih memilih TLSv1.3. Ini jatuh kembali ke TLSv1.2 jika perlu.
Sertifikat TLS untuk SIP dan HTTPS
Azure Communications Gateway menggunakan TLS bersama untuk SIP dan HTTPS, yang berarti bahwa klien dan server untuk koneksi memverifikasi satu sama lain.
Anda harus mengelola sertifikat yang disajikan jaringan Anda ke Azure Communications Gateway. Secara default, Azure Communications Gateway mendukung sertifikat DigiCert Global Root G2 dan sertifikat Baltimore CyberTrust Root sebagai sertifikat otoritas sertifikat akar (CA). Jika sertifikat yang disajikan jaringan Anda ke Azure Communications Gateway menggunakan sertifikat OS akar yang berbeda, Anda harus memberikan sertifikat ini ke tim orientasi Anda saat menyambungkan Azure Communications Gateway ke jaringan Anda.
Kami mengelola sertifikat yang digunakan Azure Communications Gateway untuk menyambungkan ke jaringan Anda, Microsoft Telepon server Sistem dan Zoom. Sertifikat Azure Communications Gateway menggunakan sertifikat DigiCert Global Root G2 sebagai sertifikat OS akar. Jika jaringan Anda belum mendukung sertifikat ini sebagai sertifikat OS akar, Anda harus mengunduh dan menginstal sertifikat ini saat menyambungkan Azure Communications Gateway ke jaringan Anda.
Suite sandi untuk TLS (untuk SIP dan HTTPS) dan SRTP
Suite sandi berikut digunakan untuk mengenkripsi SIP, HTTP, dan RTP.
Cipher yang digunakan dengan TLSv1.2 untuk SIP dan HTTPS
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Cipher yang digunakan dengan TLSv1.3 untuk SIP dan HTTPS
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Cipher yang digunakan dengan SRTP
- AES_CM_128_HMAC_SHA1_80