VirtualPBX 访客博客:保护统一通信的最佳实践

未分类 / 作者: / 2023年 1月 19日

在我们的合作伙伴博客系列中,我们希望强调我们与电信行业各个领域的同行和业务合作伙伴之间的关系。我们知道,就关系而言,整体确实大于部分之和。这就是为什么我们想与您分享与我们合作的公司的智慧、经验和观点。

为此作为 VirtualPBX 合作伙伴博客系列的版本,我们从 统一 IT 系统。Sorell 是云通信领域风险评估、网络配置和一般数据安全最佳实践领域的专家。他撰写了大量关于这些主题的文章,今天贡献了以下用于保护统一通信的准则。

保护统一通信的最佳实践

统一通信 (UC) 应用程序在企业内可能是最难保护的。UC 客户端、API 和服务需要一个完整的安全套件来确保企业保持安全。太多企业试图将标准应用程序安全措施应用于 UC 应用程序,这限制了用户可以做的事情,并且仍然使企业面临复杂的 UC 安全挑战。安全经理和架构师了解标准 Web 应用程序,但并非 UC 的所有细微差别,而且 UC 经理和架构师缺乏对安全的深入了解。

构建 UC 安全挑战

一个例子是 Cisco 的 Webex 报告 需要立即修补的严重安全漏洞。由于 Cisco WebEx 客户端的输入验证不充分,经过身份验证的远程攻击者可以在目标系统上执行任意代码。如果公司的 UC 系统不安全,公司面临的风险包括:

  1. 数据丢失 – UC 不仅仅是语音和视频,还有大量与网络会议和文件共享相关的数据。
  2. 后门 – 不良行为者可以绕过标准安全控制来访问私有网络。
  3. 用户跟踪 – 使用有关通信的元数据来跟踪谁在与谁、何时何地交谈,即使媒体是加密的也是如此。
  4. 勒索 – 录制私人对话并威胁公开信息。

越来越常见的风险

UC 将电话、视频、聊天、电子邮件和在线状态结合到一个统一的通信系统中。随着该技术变得越来越复杂并且更容易从公共互联网访问,安全威胁也越来越大。在许多方面,攻击商业通信比以往任何时候都容易。公司必须努力保护他们的通信,因为它们对业务运营至关重要。

公司以前依赖其内部网络的安全,并要求外部用户使用 VPN 解决方案才能进入。这种策略可能不再适用于所有企业,因为:

  1. 没有安全的网络 – 事实证明,最主要的攻击媒介来自企业网络内部。
  2. BYOD –(自带设备)来自个人设备的 UC,包括没有 VPN 或 MDM 客户端软件保护的员工、承包商、合作伙伴。
  3. 速度 – 用户希望立即开始通信,而不是等待 VPN 隧道建立。
  4. 公共 UCaaS – 使用互联网网络连接在第三方外部托管 UC 很常见,尤其是随着免费增值解决方案的兴起。
  5. WebRTC – 随时随地支持标准化的无客户端 UC。

克服常见挑战

虽然大型企业通常可以投入大量资源来保护他们的通信,但中小型企业需要简单且经济高效的解决方案。未能保护 UC 可能导致信息和数据被盗。UC 难以保障,原因如下:

  1. 点对点 – WebRTC 和专有 UC 堆栈允许一台设备直接与另一台设备对话,而无需通过集中式服务和安全堆栈。所有其他应用程序都是基于客户端/服务器的,其中安全堆栈可以驻留在服务器上。
  2. 双向 – 由于 UC 的呼叫/呼叫性质与用户建立会话请求的 Web 应用程序相比,可以双向建立会话。例如,家庭路由器有一个简单的防火墙规则,规定所有 TCP 和 UDP 会话必须从家庭网络内部启动,以及为什么要拨打 Skype 电话,家庭用户必须首先登录 Skype。
  3. UDP 传输 – 与具有序列号和用于不同类型应用程序的特定端口的 TCP 不同,UDP 两者都没有。不同的供应商开放了一系列 UDP 端口,UC 会话在这些端口范围内循环。端口范围必须大于并发UC用户数峰值。
  4. 多种服务 – 语音、视频、聊天、数据 – UC 使用一系列服务,每个服务都有自己的 TCP/UDP 端口。通过会议,可以有数百名用户在组织内部和外部进行交互。
  5. 抖动敏感度 – 抖动是延迟的变化,超过 20 毫秒的抖动将导致实时语音/视频流量的有效丢失。对于视频会议,网络流量可能会出现瞬时峰值,是正常情况的 100 倍。防火墙和其他安全设备在处理大量 UC 流量而不引起抖动方面存在问题。UC 是最后一个大规模使用虚拟化基础架构的主要应用程序的主要原因在于此。
  6. 远程控制 – 共同浏览和远程控制终端设备是 UC 套件的一些增强功能。许多供应商使用它来规避 VPN 和其他类型的受支持的企业远程访问。
  7. API – 数字世界就是通过 API 获取和共享数据。设置安全、加密的会话,信息进出组织。挑战在于,其中一些数据可能是私有的、机密的和/或受监管的数据,需要企业治理和合规性。
  8. 专有设备太多 – 传统 PBX、语音邮件、会议系统使用专有硬件和非通用操作系统。这些设备存在已知的安全漏洞。

为每个系统寻找解决方案

虽然此列表可能不胜枚举,但还是有一些关于安全 UC 的最佳实践可供遵循。这些包括:

  1. 加密所有内容 – 仅仅加密静态数据已经不够好了,必须对动态数据和通信进行加密,因为用户和应用程序可以无处不在。对敏感数据和通信使用 256 位加密。例如,使用 128 位加密仍然可以让人了解是男性还是女性在说话,是什么语言,谈话时长以及用户之间的互动量。
  2. 采用零信任架构 – 零信任意味着网络、资源或应用程序上的任何内容都不可信。拒绝所有策略,带有与身份和访问管理系统集成的白名单。使用异常检测在发生异常时发出警报。
  3. 确保身份 – 出色的安全性始于出色的身份和访问管理。多因素身份验证、最小权限访问和良好的日志来说明谁访问了哪些行业最佳实践并不总是适用于 UC。语音邮件和其他服务的密码管理应该是多因素的,需要 2-系统管理员的因子令牌。密码重置过程也应该严格。

实际上所有代理服务也需要检查。虽然 Web 和电子邮件代理很常见,但 SBC 的功能之一是充当语音代理。请务必添加聊天/状态和视频代理。不幸的是,这些代理是专有的。举几个例子,微软有他们的边缘和反向代理,思科使用 Expressway。这些代理提供以下功能:

  • 数据包检查 – 解密每个会话并检查信令数据包并扫描每个数据包和流。
  • 安全防火墙穿越 – 设置特定的 TCP 端口以穿过防火墙并处理第 3 层和第 5 层所需的 NAT。
  • 日志和警报 – 收集所有会话的日志,并在出现流量激增、恶意软件检测、多次会话尝试失败等异常情况时生成实时警报。
  • DLP – 需要时,记录会话 – 对于屏幕共享日志记录很重要。

对于 WebRTC,适当使用带有 ICE、STUN 和 TURN 服务的 WebRTC 网关。要添加到此列表,通过使用通信平台即服务 (CPaaS),所有 API 还应该有一个代理,以便企业可以对进出组织的所有数据实施治理和合规性。

  1. 保护 UC 设备 – 定期扫描并立即应用供应商安全补丁,并关闭未使用的服务。虽然这看起来很明显,但许多企业未能做到这一点,因为他们的 UC 基础设施并不总是驻留在数据中心的安全管理部分。
  2. 日志和事件监控 – 每个大型企业都有安全信息和事件管理系统。UC 系统应该与此相关联。
  3. 审计 – 虽然所有大型企业和政府机构都会对其关键或敏感交易进行第 3 方审计,但很少对交互进行这种审计。让第 3 方审核 UC 安全性和交互是一种新兴的最佳实践。
  4. 培训 – 无论您的系统多么安全,用户都可能变得懒惰而不认真对待安全问题。如果他们或与他们交谈的人正在进行不安全的会话,则不应共享机密、私人或受监管的信息。

黑客正变得像间谍,并且变得越来越老练,并以员工、承包商和合作伙伴为目标,帮助他们渗透到组织中。组织中的一切都需要严格锁定,包括 UC 应用程序。对于 IT 安全专业人员,如果您负责的系统发生安全漏洞,很可能会导致您更新简历。

那你怎么看?您的企业是否已经采取所有这些步骤来保护自己免受不良行为者和安全漏洞的侵害?您是否认为还有我们未在此处介绍的其他关键步骤?通过在 Facebook 或 Twitter,我们将确保将其包含在未来的版本中VirtualPBX 合作伙伴博客系列!

相关文章