VirtualPBX 訪客博客：保護統一通信的最佳實踐

在我們的合作伙伴博客系列中，我們希望強調我們與電信行業各個領域的同行和業務合作伙伴之間的關系。我們知道，就關系而言，整體確實大于部分之和。這就是為什么我們想與您分享與我們合作的公司的智慧、經驗和觀點。

為此作為 VirtualPBX 合作伙伴博客系列的版本，我們從 統一 IT 系統。Sorell 是云通信領域風險評估、網絡配置和一般數據安全最佳實踐領域的專家。他撰寫了大量關于這些主題的文章，今天貢獻了以下用于保護統一通信的準則。

保護統一通信的最佳實踐

統一通信 (UC) 應用程序在企業內可能是最難保護的。UC 客戶端、API 和服務需要一個完整的安全套件來確保企業保持安全。太多企業試圖將標準應用程序安全措施應用于 UC 應用程序，這限制了用戶可以做的事情，并且仍然使企業面臨復雜的 UC 安全挑戰。安全經理和架構師了解標準 Web 應用程序，但并非 UC 的所有細微差別，而且 UC 經理和架構師缺乏對安全的深入了解。

構建 UC 安全挑戰

一個例子是 Cisco 的 Webex 報告 需要立即修補的嚴重安全漏洞。由于 Cisco WebEx 客戶端的輸入驗證不充分，經過身份驗證的遠程攻擊者可以在目標系統上執行任意代碼。如果公司的 UC 系統不安全，公司面臨的風險包括：

1. 數據丟失 – UC 不僅僅是語音和視頻，還有大量與網絡會議和文件共享相關的數據。
2. 后門 – 不良行為者可以繞過標準安全控制來訪問私有網絡。
3. 用戶跟蹤 – 使用有關通信的元數據來跟蹤誰在與誰、何時何地交談，即使媒體是加密的也是如此。
4. 勒索 – 錄制私人對話并威脅公開信息。

越來越常見的風險

UC 將電話、視頻、聊天、電子郵件和在線狀態結合到一個統一的通信系統中。隨著該技術變得越來越復雜并且更容易從公共互聯網訪問，安全威脅也越來越大。在許多方面，攻擊商業通信比以往任何時候都容易。公司必須努力保護他們的通信，因為它們對業務運營至關重要。

公司以前依賴其內部網絡的安全，并要求外部用戶使用 VPN 解決方案才能進入。這種策略可能不再適用于所有企業，因為：

1. 沒有安全的網絡 – 事實證明，最主要的攻擊媒介來自企業網絡內部。
2. BYOD –（自帶設備）來自個人設備的 UC，包括沒有 VPN 或 MDM 客戶端軟件保護的員工、承包商、合作伙伴。
3. 速度 – 用戶希望立即開始通信，而不是等待 VPN 隧道建立。
4. 公共 UCaaS – 使用互聯網網絡連接在第三方外部托管 UC 很常見，尤其是隨著免費增值解決方案的興起。
5. WebRTC – 隨時隨地支持標準化的無客戶端 UC。

克服常見挑戰

雖然大型企業通?？梢酝度氪罅抠Y源來保護他們的通信，但中小型企業需要簡單且經濟高效的解決方案。未能保護 UC 可能導致信息和數據被盜。UC 難以保障，原因如下：

1. 點對點 – WebRTC 和專有 UC 堆棧允許一臺設備直接與另一臺設備對話，而無需通過集中式服務和安全堆棧。所有其他應用程序都是基于客戶端/服務器的，其中安全堆?？梢择v留在服務器上。
2. 雙向 – 由于 UC 的呼叫/呼叫性質與用戶建立會話請求的 Web 應用程序相比，可以雙向建立會話。例如，家庭路由器有一個簡單的防火墻規則，規定所有 TCP 和 UDP 會話必須從家庭網絡內部啟動，以及為什么要撥打 Skype 電話，家庭用戶必須首先登錄 Skype。
3. UDP 傳輸 – 與具有序列號和用于不同類型應用程序的特定端口的 TCP 不同，UDP 兩者都沒有。不同的供應商開放了一系列 UDP 端口，UC 會話在這些端口范圍內循環。端口范圍必須大于并發UC用戶數峰值。
4. 多種服務 – 語音、視頻、聊天、數據 – UC 使用一系列服務，每個服務都有自己的 TCP/UDP 端口。通過會議，可以有數百名用戶在組織內部和外部進行交互。
5. 抖動敏感度 – 抖動是延遲的變化，超過 20 毫秒的抖動將導致實時語音/視頻流量的有效丟失。對于視頻會議，網絡流量可能會出現瞬時峰值，是正常情況的 100 倍。防火墻和其他安全設備在處理大量 UC 流量而不引起抖動方面存在問題。UC 是最后一個大規模使用虛擬化基礎架構的主要應用程序的主要原因在于此。
6. 遠程控制 – 共同瀏覽和遠程控制終端設備是 UC 套件的一些增強功能。許多供應商使用它來規避 VPN 和其他類型的受支持的企業遠程訪問。
7. API – 數字世界就是通過 API 獲取和共享數據。設置安全、加密的會話，信息進出組織。挑戰在于，其中一些數據可能是私有的、機密的和/或受監管的數據，需要企業治理和合規性。
8. 專有設備太多 – 傳統 PBX、語音郵件、會議系統使用專有硬件和非通用操作系統。這些設備存在已知的安全漏洞。

為每個系統尋找解決方案

雖然此列表可能不勝枚舉，但還是有一些關于安全 UC 的最佳實踐可供遵循。這些包括：

1. 加密所有內容 – 僅僅加密靜態數據已經不夠好了，必須對動態數據和通信進行加密，因為用戶和應用程序可以無處不在。對敏感數據和通信使用 256 位加密。例如，使用 128 位加密仍然可以讓人了解是男性還是女性在說話，是什么語言，談話時長以及用戶之間的互動量。
2. 采用零信任架構 – 零信任意味著網絡、資源或應用程序上的任何內容都不可信。拒絕所有策略，帶有與身份和訪問管理系統集成的白名單。使用異常檢測在發生異常時發出警報。
3. 確保身份 – 出色的安全性始于出色的身份和訪問管理。多因素身份驗證、最小權限訪問和良好的日志來說明誰訪問了哪些行業最佳實踐并不總是適用于 UC。語音郵件和其他服務的密碼管理應該是多因素的，需要 2-系統管理員的因子令牌。密碼重置過程也應該嚴格。

實際上所有代理服務也需要檢查。雖然 Web 和電子郵件代理很常見，但 SBC 的功能之一是充當語音代理。請務必添加聊天/狀態和視頻代理。不幸的是，這些代理是專有的。舉幾個例子，微軟有他們的邊緣和反向代理，思科使用 Expressway。這些代理提供以下功能：

• 數據包檢查 – 解密每個會話并檢查信令數據包并掃描每個數據包和流。
• 安全防火墻穿越 – 設置特定的 TCP 端口以穿過防火墻并處理第 3 層和第 5 層所需的 NAT。
• 日志和警報 – 收集所有會話的日志，并在出現流量激增、惡意軟件檢測、多次會話嘗試失敗等異常情況時生成實時警報。
• DLP – 需要時，記錄會話 – 對于屏幕共享日志記錄很重要。

對于 WebRTC，適當使用帶有 ICE、STUN 和 TURN 服務的 WebRTC 網關。要添加到此列表，通過使用通信平臺即服務 (CPaaS)，所有 API 還應該有一個代理，以便企業可以對進出組織的所有數據實施治理和合規性。

1. 保護 UC 設備 – 定期掃描并立即應用供應商安全補丁，并關閉未使用的服務。雖然這看起來很明顯，但許多企業未能做到這一點，因為他們的 UC 基礎設施并不總是駐留在數據中心的安全管理部分。
2. 日志和事件監控 – 每個大型企業都有安全信息和事件管理系統。UC 系統應該與此相關聯。
3. 審計 – 雖然所有大型企業和政府機構都會對其關鍵或敏感交易進行第 3 方審計，但很少對交互進行這種審計。讓第 3 方審核 UC 安全性和交互是一種新興的最佳實踐。
4. 培訓 – 無論您的系統多么安全，用戶都可能變得懶惰而不認真對待安全問題。如果他們或與他們交談的人正在進行不安全的會話，則不應共享機密、私人或受監管的信息。

黑客正變得像間諜，并且變得越來越老練，并以員工、承包商和合作伙伴為目標，幫助他們滲透到組織中。組織中的一切都需要嚴格鎖定，包括 UC 應用程序。對于 IT 安全專業人員，如果您負責的系統發生安全漏洞，很可能會導致您更新簡歷。

那你怎么看？您的企業是否已經采取所有這些步驟來保護自己免受不良行為者和安全漏洞的侵害？您是否認為還有我們未在此處介紹的其他關鍵步驟？通過在 Facebook 或 Twitter，我們將確保將其包含在未來的版本中VirtualPBX 合作伙伴博客系列！