Översikt över säkerhet för Azure Communications Gateway
Kunddata som Azure Communications Gateway hanterar kan delas upp i:
- Innehållsdata, till exempel media för röstsamtal.
- Kunddata som etablerats på Azure Communications Gateway eller som finns i anropsmetadata.
Datakvarhållning, datasäkerhet och kryptering i vila
Azure Communications Gateway lagrar inte innehållsdata, men den lagrar kunddata.
- Kunddata som etablerats på Azure Communications Gateway innehåller konfiguration av nummer för specifika kommunikationstjänster. Det behövs för att matcha nummer till dessa kommunikationstjänster och (valfritt) göra nummerspecifika ändringar i anrop, till exempel lägga till anpassade rubriker.
- Tillfälliga kunddata från samtalsmetadata lagras i högst 30 dagar och används för att tillhandahålla statistik. Efter 30 dagar är data från anropsmetadata inte längre tillgängliga för diagnostik eller analys av enskilda anrop. Anonymiserad statistik och loggar som produceras baserat på kunddata är tillgängliga efter gränsen på 30 dagar.
Din organisations åtkomst till Azure Communications Gateway hanteras med hjälp av Microsoft Entra-ID. Mer information om de behörigheter som personalen behöver finns i Konfigurera användarroller för Azure Communications Gateway. Information om Microsoft Entra-ID med etablerings-API:et finns i API-referensen för etablerings-API:et.
Azure Communications Gateway stöder inte Customer Lockbox för Microsoft Azure. Microsoft-tekniker kan dock bara komma åt data i just-in-time-format och endast för diagnostiska ändamål.
Azure Communications Gateway lagrar alla vilande data på ett säkert sätt, inklusive etablerad kund- och nummerkonfiguration och eventuella tillfälliga kunddata, till exempel samtalsposter. Azure Communications Gateway använder Standard Azure-infrastruktur, med plattformshanterade krypteringsnycklar, för att tillhandahålla kryptering på serversidan som är kompatibel med en rad olika säkerhetsstandarder, inklusive FedRAMP. Mer information finns i kryptering av vilande data.
Kryptering vid överföring
All trafik som hanteras av Azure Communications Gateway krypteras. Den här krypteringen används mellan Azure Communications Gateway-komponenter och mot Microsoft Telefon System.
- SIP- och HTTP-trafik krypteras med hjälp av TLS.
- Medietrafiken krypteras med hjälp av SRTP.
När du krypterar trafik som ska skickas till nätverket föredrar Azure Communications Gateway TLSv1.3. Det faller tillbaka till TLSv1.2 om det behövs.
TLS-certifikat för SIP och HTTPS
Azure Communications Gateway använder ömsesidig TLS för SIP och HTTPS, vilket innebär att både klienten och servern för anslutningen verifierar varandra.
Du måste hantera de certifikat som nätverket presenterar för Azure Communications Gateway. Som standard stöder Azure Communications Gateway DigiCert Global Root G2-certifikatet och Baltimore CyberTrust Root-certifikatet som certifikat för rotcertifikatutfärdare (CA). Om det certifikat som ditt nätverk presenterar för Azure Communications Gateway använder ett annat rotcertifikatutfärdarcertifikat måste du ange det här certifikatet till registreringsteamet när du ansluter Azure Communications Gateway till dina nätverk.
Vi hanterar certifikatet som Azure Communications Gateway använder för att ansluta till nätverket, Microsoft Telefon System- och Zoom-servrar. Azure Communications Gateway-certifikatet använder DigiCert Global Root G2-certifikatet som rotcertifikatutfärdarcertifikat. Om nätverket inte redan har stöd för det här certifikatet som ett rotcertifikatutfärdarcertifikat måste du ladda ned och installera det här certifikatet när du ansluter Azure Communications Gateway till dina nätverk.
Chiffersviter för TLS (för SIP och HTTPS) och SRTP
Följande chiffersviter används för kryptering av SIP, HTTP och RTP.
Chiffer som används med TLSv1.2 för SIP och HTTPS
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Chiffer som används med TLSv1.3 för SIP och HTTPS
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Chiffer som används med SRTP
- AES_CM_128_HMAC_SHA1_80