共用方式為

Azure 通訊閘道的安全性概觀

  • 發行項

Azure 通訊閘道處理的客戶資料可分割成:

  • 內容資料,例如語音通話的媒體。
  • 在 Azure 通訊閘道上佈建或存在於通話中繼資料的客戶資料。

資料保留、資料安全性和待用資料加密

Azure 通訊閘道不會儲存內容資料,但會儲存客戶資料。

  • 在 Azure 通訊閘道上佈建的客戶資料包含特定通訊服務的號碼設定。 需要比對號碼與這些通訊服務,並 (選擇性地) 對通話進行號碼特定的變更,例如新增自訂標頭。
  • 通話中繼資料中的暫時客戶資料最多會儲存 30 天,並用來提供統計資料。 30 天後,無法再存取來自通話中繼資料的資料,以執行個別通話的診斷或分析。 根據客戶資料產生的匿名統計資料和記錄,可在 30 天限制之後使用。

貴組織的 Azure 通訊閘道存取權是使用 Microsoft Entra ID 來管理。 如需員工所需權限的詳細資訊,請參閱設定 Azure 通訊閘道的使用者角色。 如需 Microsoft Entra ID 與佈建 API 的相關資訊,請參閱佈建 API 的 API 參考

Azure 通訊閘道不支援 Microsoft Azure 的客戶加密箱。 不過,Microsoft 工程師只能即時存取資料,而且僅供診斷之用。

Azure 通訊閘道會安全地儲存所有待用資料,包括已佈建的客戶和號碼組態,以及任何暫存的客戶資料,例如通話記錄。 Azure 通訊閘道使用標準 Azure 基礎結構搭配平台管理的加密金鑰,提供符合一系列安全性標準的伺服器端加密,包括 FedRAMP。 如需詳細資訊,請參閱待用資料加密

傳輸中加密

Azure 通訊閘道處理的所有流量都會加密。 此加密使用於 Azure 通訊閘道元件之間並用於 Microsoft Phone 系統。

  • SIP 和 HTTP 流量會使用 TLS 加密。
  • 媒體流量會使用 SRTP 加密。

加密要傳送至網路的流量時,Azure 通訊閘道偏好使用 TLSv1.3。 如有必要,它會回復為 TLSv1.2。

SIP 和 HTTPS 的 TLS 憑證

Azure 通訊閘道會針對 SIP 和 HTTPS 使用相互 TLS,這表示連線的客戶端和伺服器會互相驗證。

您必須管理網路向 Azure 通訊閘道呈現的憑證。 根據預設,Azure 通訊閘道支援 DigiCert Global Root G2 憑證和 Baltimore CyberTrust 根憑證作為根憑證授權單位 (CA) 憑證。 如果您的網路向 Azure 通訊閘道出示的憑證使用不同的根 CA 憑證,當您將 Azure 通訊閘道連線到您的網路時,您必須將此憑證提供給上線小組。

我們會管理 Azure 通訊閘道用來連線到網路、Microsoft Phone 系統和 Zoom 伺服器的憑證。 Azure 通訊閘道的憑證會使用 DigiCert Global Root G2 憑證作為根 CA 憑證。 如果您的網路尚未支援此憑證作為根 CA 憑證,當您將 Azure 通訊閘道連線到您的網路時,您必須下載並安裝此憑證。

TLS 加密套件 (適用於 SIP 和 HTTPS) 和 SRTP

下列加密套件用於 SIP、HTTP 和 RTP 加密。

搭配 TLSv1.2 用於 SIP 和 HTTPS 的加密

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

搭配 TLSv1.3 用於 SIP 和 HTTPS 的加密

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

搭配 SRTP 使用的加密

  • AES_CM_128_HMAC_SHA1_80

下一步