Vue d’ensemble de la sécurité pour Azure Communications Gateway
Les handles azure Communications Gateway des données client peuvent être divisés en :
- Données de contenu, telles que les médias pour les appels vocaux.
- Données client approvisionnées sur Azure Communications Gateway ou présentes dans les métadonnées d’appel.
Conservation des données, sécurité des données et chiffrement au repos
Azure Communications Gateway ne stocke pas de données de contenu, mais il stocke les données client.
- Les données client approvisionnées sur Azure Communications Gateway incluent la configuration des numéros pour des services de communication spécifiques. Il est nécessaire de faire correspondre des numéros à ces services de communication et (éventuellement) d’apporter des modifications spécifiques aux appels, telles que l’ajout d’en-têtes personnalisés.
- Les données client temporaires des métadonnées d’appel sont stockées pendant un maximum de 30 jours et utilisées pour fournir des statistiques. Après 30 jours, les données des métadonnées d’appel ne sont plus accessibles pour effectuer des diagnostics ou une analyse des appels individuels. Les statistiques et journaux anonymes générés en fonction des données client sont disponibles après la limite de 30 jours.
L’accès de votre organisation à Azure Communications Gateway est géré à l’aide de l’ID Microsoft Entra. Pour plus d’informations sur les autorisations dont votre personnel a besoin, consultez Configurer des rôles d’utilisateur pour Azure Communications Gateway. Pour plus d’informations sur l’ID Microsoft Entra avec l’API d’approvisionnement, consultez la référence de l’API d’approvisionnement pour l’API d’approvisionnement.
Azure Communications Gateway ne prend pas en charge Customer Lockbox pour Microsoft Azure. Toutefois, les ingénieurs Microsoft peuvent accéder uniquement aux données juste-à-temps, et uniquement à des fins de diagnostic.
Azure Communications Gateway stocke toutes les données au repos en toute sécurité, notamment la configuration des clients et des numéros approvisionnés et toutes les données client temporaires, telles que les enregistrements d’appels. Azure Communications Gateway utilise une infrastructure Azure standard, avec des clés de chiffrement gérées par la plateforme, pour fournir un chiffrement côté serveur conforme à une gamme de normes de sécurité, notamment FedRAMP. Pour plus d’informations, consultez le chiffrement des données au repos.
Chiffrement en transit
Tout le trafic géré par azure Communications Gateway est chiffré. Ce chiffrement est utilisé entre les composants azure Communications Gateway et vers Téléphone Microsoft Système.
- Le trafic SIP et HTTP est chiffré à l’aide de TLS.
- Le trafic multimédia est chiffré à l’aide de SRTP.
Lors du chiffrement du trafic à envoyer à votre réseau, Azure Communications Gateway préfère TLSv1.3. Il revient à TLSv1.2 si nécessaire.
Certificats TLS pour SIP et HTTPS
Azure Communications Gateway utilise le protocole TLS mutuel pour SIP et HTTPS, ce qui signifie que le client et le serveur pour la connexion se vérifient mutuellement.
Vous devez gérer les certificats présentés par votre réseau à Azure Communications Gateway. Par défaut, Azure Communications Gateway prend en charge le certificat DigiCert Global Root G2 et le certificat Racine Baltimore CyberTrust en tant que certificats d’autorité de certification racine (CA). Si le certificat présenté par votre réseau à Azure Communications Gateway utilise un certificat d’autorité de certification racine différent, vous devez fournir ce certificat à votre équipe d’intégration lorsque vous connectez Azure Communications Gateway à vos réseaux.
Nous gérons le certificat qu’Azure Communications Gateway utilise pour se connecter à votre réseau, Téléphone Microsoft serveurs Système et Zoom. Le certificat d’Azure Communications Gateway utilise le certificat DigiCert Global Root G2 comme certificat d’autorité de certification racine. Si votre réseau ne prend pas déjà en charge ce certificat en tant que certificat d’autorité de certification racine, vous devez télécharger et installer ce certificat lorsque vous connectez Azure Communications Gateway à vos réseaux.
Suites de chiffrement pour TLS (pour SIP et HTTPS) et SRTP
Les suites de chiffrement suivantes sont utilisées pour chiffrer SIP, HTTP et RTP.
Chiffrements utilisés avec TLSv1.2 pour SIP et HTTPS
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Chiffrements utilisés avec TLSv1.3 pour SIP et HTTPS
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Chiffrements utilisés avec SRTP
- AES_CM_128_HMAC_SHA1_80
Étapes suivantes
- Lire la base de référence de sécurité pour Azure Communications Gateway
- En savoir plus sur les rôles d’utilisateur pour Azure Communications Gateway
- En savoir plus sur la planification d’un déploiement azure Communications Gateway