Omówienie zabezpieczeń usługi Azure Communications Gateway
Dojścia usługi Azure Communications Gateway danych klienta można podzielić na:
- Dane zawartości, takie jak nośniki połączeń głosowych.
- Dane klienta aprowidowane w usłudze Azure Communications Gateway lub obecne w metadanych wywołania.
Przechowywanie danych, bezpieczeństwo danych i szyfrowanie magazynowane
Usługa Azure Communications Gateway nie przechowuje danych zawartości, ale przechowuje dane klientów.
- Dane klientów aprowidowane w usłudze Azure Communications Gateway obejmują konfigurację numerów dla określonych usług komunikacyjnych. Konieczne jest dopasowanie liczb do tych usług komunikacyjnych i (opcjonalnie) wprowadzanie zmian specyficznych dla numerów wywołań, takich jak dodawanie nagłówków niestandardowych.
- Tymczasowe dane klienta z metadanych wywołań są przechowywane przez maksymalnie 30 dni i są używane do udostępniania statystyk. Po upływie 30 dni dane z metadanych wywołań nie są już dostępne do przeprowadzania diagnostyki ani analizy poszczególnych wywołań. Anonimowe statystyki i dzienniki utworzone na podstawie danych klientów są dostępne po upływie 30 dni.
Dostęp organizacji do usługi Azure Communications Gateway jest zarządzany przy użyciu identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat uprawnień potrzebnych pracownikom, zobacz Konfigurowanie ról użytkowników dla usługi Azure Communications Gateway. Aby uzyskać informacje o identyfikatorze Entra firmy Microsoft z interfejsem API aprowizacji, zobacz dokumentację interfejsu API aprowizacji.
Usługa Azure Communications Gateway nie obsługuje skrytki klienta dla platformy Microsoft Azure. Jednak inżynierowie firmy Microsoft mogą uzyskiwać dostęp tylko do danych tylko w czasie i tylko do celów diagnostycznych.
Usługa Azure Communications Gateway bezpiecznie przechowuje wszystkie dane magazynowane, w tym aprowizowaną konfigurację klienta i numer oraz wszelkie tymczasowe dane klienta, takie jak rekordy połączeń. Usługa Azure Communications Gateway używa standardowej infrastruktury platformy Azure z kluczami szyfrowania zarządzanymi przez platformę w celu zapewnienia szyfrowania po stronie serwera zgodnego z szeregiem standardów zabezpieczeń, w tym FedRAMP. Aby uzyskać więcej informacji, zobacz szyfrowanie danych magazynowanych.
Szyfrowanie podczas transferu
Cały ruch obsługiwany przez usługę Azure Communications Gateway jest szyfrowany. To szyfrowanie jest używane między składnikami usługi Azure Communications Gateway i systemem Telefon Microsoft.
- Ruch SIP i HTTP są szyfrowane przy użyciu protokołu TLS.
- Ruch multimedialny jest szyfrowany przy użyciu protokołu SRTP.
Podczas szyfrowania ruchu wysyłanego do sieci usługa Azure Communications Gateway preferuje protokół TLSv1.3. W razie potrzeby wraca do TLSv1.2.
Certyfikaty TLS dla protokołu SIP i HTTPS
Usługa Azure Communications Gateway używa wzajemnego protokołu TLS dla protokołu SIP i HTTPS, co oznacza, że zarówno klient, jak i serwer dla połączenia weryfikują się nawzajem.
Należy zarządzać certyfikatami prezentowanych przez sieć w usłudze Azure Communications Gateway. Domyślnie usługa Azure Communications Gateway obsługuje certyfikat DigiCert Global Root G2 i certyfikat główny Baltimore CyberTrust jako certyfikat głównego urzędu certyfikacji( CA). Jeśli certyfikat prezentowany przez sieć w usłudze Azure Communications Gateway używa innego certyfikatu głównego urzędu certyfikacji, należy podać ten certyfikat zespołowi dołączania podczas łączenia usługi Azure Communications Gateway z sieciami.
Zarządzamy certyfikatem używanym przez usługę Azure Communications Gateway do łączenia się z siecią, Telefon Microsoft serwerów Systemu i Zoom. Certyfikat usługi Azure Communications Gateway używa certyfikatu Globalnego głównego G2 firmy DigiCert jako certyfikatu głównego urzędu certyfikacji. Jeśli sieć nie obsługuje jeszcze tego certyfikatu jako certyfikatu głównego urzędu certyfikacji, należy pobrać i zainstalować ten certyfikat podczas łączenia usługi Azure Communications Gateway z sieciami.
Zestawy szyfrowania dla protokołów TLS (dla protokołów SIP i HTTPS) i SRTP
Następujące zestawy szyfrowania są używane do szyfrowania SIP, HTTP i RTP.
Szyfry używane z protokołem TLSv1.2 dla protokołu SIP i HTTPS
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Szyfry używane z protokołem TLSv1.3 dla sip i HTTPS
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Szyfry używane z funkcją SRTP
- AES_CM_128_HMAC_SHA1_80