Общие сведения о безопасности шлюза коммуникаций Azure
Дескриптор данных клиента Azure Communications Gateway можно разделить на:
- Данные содержимого, такие как носитель для голосовых звонков.
- Данные клиентов, подготовленные в шлюзе коммуникаций Azure или присутствуют в метаданных вызова.
Хранение данных, безопасность данных и шифрование неактивных данных
Шлюз коммуникаций Azure не хранит данные содержимого, но сохраняет данные клиента.
- Данные клиентов, подготовленные в шлюзе коммуникаций Azure, включают конфигурацию номеров для определенных служб коммуникации. Необходимо сопоставить номера с этими службами коммуникации и (необязательно) внести изменения в номера вызовов, таких как добавление настраиваемых заголовков.
- Временные данные клиента из метаданных вызова хранятся не более 30 дней и используются для предоставления статистики. Через 30 дней данные из метаданных вызова больше не доступны для выполнения диагностика или анализа отдельных вызовов. Анонимизированная статистика и журналы, созданные на основе данных клиента, доступны после 30 дней ограничения.
Доступ вашей организации к шлюзу коммуникаций Azure управляется с помощью идентификатора Microsoft Entra. Дополнительные сведения о разрешениях, необходимых сотрудникам, см. в статье "Настройка ролей пользователей для шлюза коммуникаций Azure". Сведения об идентификаторе Microsoft Entra с API подготовки см. в справочнике по API подготовки ДЛЯ API подготовки.
Шлюз коммуникаций Azure не поддерживает блокировку клиента для Microsoft Azure. Однако инженеры Майкрософт могут получать доступ только к данным на основе JIT и только для диагностических целей.
Шлюз коммуникаций Azure хранит все данные в состоянии безопасности, включая подготовленную конфигурацию клиента и номера, а также любые временные данные клиента, такие как записи вызовов. Шлюз коммуникаций Azure использует стандартную инфраструктуру Azure с ключами шифрования, управляемыми платформой, для обеспечения соответствия шифрованию на стороне сервера различным стандартам безопасности, включая FedRAMP. Дополнительные сведения см. в разделе шифрования неактивных данных.
Шифрование при передаче
Весь трафик, обрабатываемый шлюзом коммуникаций Azure, шифруется. Это шифрование используется между компонентами шлюза коммуникации Azure и системой Телефон (Майкрософт).
- ПРОТОКОЛ SIP и HTTP-трафик шифруются с помощью TLS.
- Трафик мультимедиа шифруется с помощью SRTP.
При шифровании трафика для отправки в сеть шлюз коммуникации Azure предпочитает TLSv1.3. При необходимости он возвращается к TLSv1.2.
Сертификаты TLS для SIP и HTTPS
Шлюз коммуникаций Azure использует взаимный TLS для SIP и HTTPS, что означает, что клиент и сервер для подключения проверяют друг друга.
Необходимо управлять сертификатами, которые предоставляет сеть шлюзу коммуникаций Azure. По умолчанию шлюз коммуникаций Azure поддерживает сертификат DigiCert Global Root G2 и корневой сертификат Baltimore CyberTrust в качестве сертификатов корневого центра сертификации (ЦС). Если сертификат, предоставляемый вашей сетью шлюзу коммуникаций Azure, использует другой корневой сертификат ЦС, необходимо предоставить этот сертификат группе подключения при подключении шлюза коммуникаций Azure к сетям.
Мы управляем сертификатом, который шлюз коммуникации Azure использует для подключения к сети, Телефон (Майкрософт) серверах System и Zoom. Сертификат шлюза коммуникаций Azure использует глобальный корневой сертификат G2 DigiCert в качестве корневого сертификата ЦС. Если сеть еще не поддерживает этот сертификат в качестве корневого сертификата ЦС, необходимо скачать и установить этот сертификат при подключении шлюза коммуникаций Azure к сетям.
Наборы шифров для TLS (для SIP и HTTPS) и SRTP
Следующие наборы шифров используются для шифрования SIP, HTTP и RTP.
Шифры, используемые с TLSv1.2 для SIP и HTTPS
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Шифры, используемые с TLSv1.3 для SIP и HTTPS
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Шифры, используемые с SRTP
- AES_CM_128_HMAC_SHA1_80
Следующие шаги
- Чтение базовых показателей безопасности для шлюза коммуникаций Azure
- Сведения о ролях пользователей для шлюза коммуникаций Azure
- Сведения о планировании развертывания шлюза коммуникаций Azure