Omówienie zabezpieczeń usługi Azure Communications Gateway

Dojścia usługi Azure Communications Gateway danych klienta można podzielić na:

• Dane zawartości, takie jak nośniki połączeń głosowych.
• Dane klienta aprowidowane w usłudze Azure Communications Gateway lub obecne w metadanych wywołania.

Przechowywanie danych, bezpieczeństwo danych i szyfrowanie magazynowane

Usługa Azure Communications Gateway nie przechowuje danych zawartości, ale przechowuje dane klientów.

• Dane klientów aprowidowane w usłudze Azure Communications Gateway obejmują konfigurację numerów dla określonych usług komunikacyjnych. Konieczne jest dopasowanie liczb do tych usług komunikacyjnych i (opcjonalnie) wprowadzanie zmian specyficznych dla numerów wywołań, takich jak dodawanie nagłówków niestandardowych.
• Tymczasowe dane klienta z metadanych wywołań są przechowywane przez maksymalnie 30 dni i są używane do udostępniania statystyk. Po upływie 30 dni dane z metadanych wywołań nie są już dostępne do przeprowadzania diagnostyki ani analizy poszczególnych wywołań. Anonimowe statystyki i dzienniki utworzone na podstawie danych klientów są dostępne po upływie 30 dni.

Dostęp organizacji do usługi Azure Communications Gateway jest zarządzany przy użyciu identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat uprawnień potrzebnych pracownikom, zobacz Konfigurowanie ról użytkowników dla usługi Azure Communications Gateway. Aby uzyskać informacje o identyfikatorze Entra firmy Microsoft z interfejsem API aprowizacji, zobacz dokumentację interfejsu API aprowizacji.

Usługa Azure Communications Gateway nie obsługuje skrytki klienta dla platformy Microsoft Azure. Jednak inżynierowie firmy Microsoft mogą uzyskiwać dostęp tylko do danych tylko w czasie i tylko do celów diagnostycznych.

Usługa Azure Communications Gateway bezpiecznie przechowuje wszystkie dane magazynowane, w tym aprowizowaną konfigurację klienta i numer oraz wszelkie tymczasowe dane klienta, takie jak rekordy połączeń. Usługa Azure Communications Gateway używa standardowej infrastruktury platformy Azure z kluczami szyfrowania zarządzanymi przez platformę w celu zapewnienia szyfrowania po stronie serwera zgodnego z szeregiem standardów zabezpieczeń, w tym FedRAMP. Aby uzyskać więcej informacji, zobacz szyfrowanie danych magazynowanych.

Szyfrowanie podczas transferu

Cały ruch obsługiwany przez usługę Azure Communications Gateway jest szyfrowany. To szyfrowanie jest używane między składnikami usługi Azure Communications Gateway i systemem Telefon Microsoft.

• Ruch SIP i HTTP są szyfrowane przy użyciu protokołu TLS.
• Ruch multimedialny jest szyfrowany przy użyciu protokołu SRTP.

Podczas szyfrowania ruchu wysyłanego do sieci usługa Azure Communications Gateway preferuje protokół TLSv1.3. W razie potrzeby wraca do TLSv1.2.

Certyfikaty TLS dla protokołu SIP i HTTPS

Usługa Azure Communications Gateway używa wzajemnego protokołu TLS dla protokołu SIP i HTTPS, co oznacza, że zarówno klient, jak i serwer dla połączenia weryfikują się nawzajem.

Należy zarządzać certyfikatami prezentowanych przez sieć w usłudze Azure Communications Gateway. Domyślnie usługa Azure Communications Gateway obsługuje certyfikat DigiCert Global Root G2 i certyfikat główny Baltimore CyberTrust jako certyfikat głównego urzędu certyfikacji( CA). Jeśli certyfikat prezentowany przez sieć w usłudze Azure Communications Gateway używa innego certyfikatu głównego urzędu certyfikacji, należy podać ten certyfikat zespołowi dołączania podczas łączenia usługi Azure Communications Gateway z sieciami.

Zarządzamy certyfikatem używanym przez usługę Azure Communications Gateway do łączenia się z siecią, Telefon Microsoft serwerów Systemu i Zoom. Certyfikat usługi Azure Communications Gateway używa certyfikatu Globalnego głównego G2 firmy DigiCert jako certyfikatu głównego urzędu certyfikacji. Jeśli sieć nie obsługuje jeszcze tego certyfikatu jako certyfikatu głównego urzędu certyfikacji, należy pobrać i zainstalować ten certyfikat podczas łączenia usługi Azure Communications Gateway z sieciami.

Zestawy szyfrowania dla protokołów TLS (dla protokołów SIP i HTTPS) i SRTP

Następujące zestawy szyfrowania są używane do szyfrowania SIP, HTTP i RTP.

Szyfry używane z protokołem TLSv1.2 dla protokołu SIP i HTTPS

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Szyfry używane z protokołem TLSv1.3 dla sip i HTTPS

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Szyfry używane z funkcją SRTP

• AES_CM_128_HMAC_SHA1_80

Następne kroki

• Przeczytaj punkt odniesienia zabezpieczeń dla usługi Azure Communications Gateway
• Dowiedz się więcej o rolach użytkowników w usłudze Azure Communications Gateway
• Dowiedz się więcej o planowaniu wdrożenia usługi Azure Communications Gateway