Visão geral da segurança do Azure Communications Gateway

Os dados do cliente que o Azure Communications Gateway manipula podem ser divididos em:

• Dados de conteúdo, como mídia para chamadas de voz.
• Dados do cliente provisionados no Azure Communications Gateway ou presentes em metadados de chamada.

Retenção de dados, segurança de dados e criptografia em repouso

O Azure Communications Gateway não armazena dados de conteúdo, mas armazena dados de clientes.

• Os dados do cliente provisionados no Azure Communications Gateway incluem a configuração de números para serviços de comunicação específicos. É necessário fazer a correspondência de números com esses serviços de comunicação e (opcionalmente) fazer alterações específicas de números em chamadas, como adicionar cabeçalhos personalizados.
• Os dados temporários do cliente a partir de metadados de chamadas são armazenados por um período máximo de 30 dias e utilizados para fornecer estatísticas. Após 30 dias, os dados dos metadados da chamada não estão mais acessíveis para realizar diagnósticos ou análises de chamadas individuais. Estatísticas anonimizadas e logs produzidos com base nos dados do cliente estão disponíveis após o limite de 30 dias.

O acesso da sua organização ao Azure Communications Gateway é gerenciado usando a ID do Microsoft Entra. Para obter mais informações sobre as permissões de que sua equipe precisa, consulte Configurar funções de usuário para o Azure Communications Gateway. Para obter informações sobre o Microsoft Entra ID com a API de provisionamento, consulte a Referência de API para a API de provisionamento.

O Azure Communications Gateway não suporta o Customer Lockbox para Microsoft Azure. No entanto, os engenheiros da Microsoft só podem aceder aos dados numa base just-in-time e apenas para fins de diagnóstico.

O Azure Communications Gateway armazena todos os dados em repouso de forma segura, incluindo a configuração provisionada do cliente e do número e quaisquer dados temporários do cliente, como registros de chamadas. O Azure Communications Gateway usa a infraestrutura padrão do Azure, com chaves de criptografia gerenciadas pela plataforma, para fornecer criptografia do lado do servidor compatível com uma variedade de padrões de segurança, incluindo FedRAMP. Para obter mais informações, consulte criptografia de dados em repouso.

Encriptação em trânsito

Todo o tráfego tratado pelo Azure Communications Gateway é criptografado. Essa criptografia é usada entre os componentes do Azure Communications Gateway e para o Microsoft Phone System.

• O tráfego SIP e HTTP é criptografado usando TLS.
• O tráfego de mídia é criptografado usando SRTP.

Ao criptografar o tráfego para enviar à sua rede, o Azure Communications Gateway prefere TLSv1.3. Ele retorna ao TLSv1.2, se necessário.

Certificados TLS para SIP e HTTPS

O Gateway de Comunicações do Azure usa TLS mútuo para SIP e HTTPS, o que significa que o cliente e o servidor da conexão se verificam.

Você deve gerenciar os certificados que sua rede apresenta ao Azure Communications Gateway. Por padrão, o Azure Communications Gateway dá suporte ao certificado DigiCert Global Root G2 e ao certificado Baltimore CyberTrust Root como certificados de autoridade de certificação (CA) raiz. Se o certificado que sua rede apresenta ao Azure Communications Gateway usar um certificado de autoridade de certificação raiz diferente, você deverá fornecer esse certificado à sua equipe de integração quando conectar o Azure Communications Gateway às suas redes.

Gerimos o certificado que o Azure Communications Gateway utiliza para ligar à sua rede, ao Microsoft Phone System e aos servidores Zoom. O certificado do Azure Communications Gateway usa o certificado DigiCert Global Root G2 como o certificado de CA raiz. Se a sua rede ainda não suportar este certificado como um certificado de autoridade de certificação raiz, tem de transferir e instalar este certificado quando ligar o Azure Communications Gateway às suas redes.

Pacotes de codificação para TLS (para SIP e HTTPS) e SRTP

Os seguintes pacotes de codificação são usados para criptografar SIP, HTTP e RTP.

Cifras usadas com TLSv1.2 para SIP e HTTPS

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Cifras usadas com TLSv1.3 para SIP e HTTPS

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Cifras usadas com SRTP

• AES_CM_128_HMAC_SHA1_80

Próximos passos

• Leia a linha de base de segurança do Azure Communications Gateway
• Saiba mais sobre as funções de usuário do Azure Communications Gateway
• Saiba mais sobre como planejar uma implantação do Azure Communications Gateway