Kazalo:
Video: IP – телефония | Что это и с чего начать? (November 2024)
Varnost je potrebna za vsako storitev v oblaku, ki je vključena v vaše podjetje, in vektorji napadov se razvijajo vsak dan. Za aplikacijo za internetno povezavo, kot je aplikacija Voice-over-IP (VoIP), ki služi kot središče komunikacije vašega podjetja, so varnostni ukrepi od znotraj navzven še bolj nujni, zlasti ob poznavanju prakse in problematičnih področij.
Ne glede na to, ali zagotavlja varno preverjanje pristnosti uporabnikov in konfiguracijo omrežja ali omogoča končno šifriranje v vseh VoIP komunikacijah in shranjevanju podatkov, morajo organizacije biti skrbne pri nadzoru upravljanja IT in tesno sodelovati s svojim poslovnim ponudnikom VoIP, da se zagotovi, da varnostne zahteve izpolnjujejo spoznali in uveljavili.
Michael Machado, glavni varnostni direktor organizacije RingCentral, nadzoruje varnost vseh oblakov in VoIP storitev RingCentral. Machado je zadnjih 15 let preživel v IT in oblačni varnosti, najprej kot varnostni arhitekt in poslovodni direktor v WebExu, nato pa v Ciscu, potem ko je podjetje pridobilo storitev videokonference.
Varnostni vidiki v VoIP komunikacijah vašega podjetja se začnejo v fazi raziskovanja in nakupa, preden sploh izberete ponudnika VoIP, in vztrajajo z izvajanjem in upravljanjem. Machado se je skozi celoten postopek sprehodil z varnostnega vidika in se ustavil, da bi razlagal veliko opravil in ne za podjetja vseh velikosti.
Izbira ponudnika VoIP
NE: Zanemarite model zaščite v skupni rabi
Ne glede na to, ali ste majhno podjetje ali veliko podjetje, je prva stvar, ki jo morate razumeti - neodvisno celo od VoIP-a in enotne komunikacije kot storitve (UCaaS) -, da morajo vse storitve v oblaku imeti splošno varnost model. Machado je dejal, da kot naročnik vaše podjetje vedno prevzame določeno odgovornost pri varnem izvajanju vseh storitev v oblaku, ki jih sprejemate.
"To je ključno za razumevanje kupcev, zlasti kadar je podjetje manjše in ima manj virov, " je dejal Machado. "Ljudje mislijo, da je VoIP mehanična naprava, povezana z bakreno linijo. To ni. VoIP telefon, ne glede na to, ali gre za fizično slušalko, računalnik z nameščeno programsko opremo ali zanjo, mobilno aplikacijo ali aplikacijo za mobilne telefone, to ni isto kot mehanski telefon, priključen na PSTN. Ni tako kot navadni telefon. Nekaj odgovornosti boste morali zagotoviti, da ima varnost med kupcem in prodajalcem zaprto zanko."
DO: Dostojna skrbnost prodajalca
Ko razumete to deljeno odgovornost in želite prevzeti storitev VoIP v oblaku, je smiselno, da pri izbiri prodajalca skrbno skrbite. Machado je pojasnil, kako podjetja in mala in srednje velika podjetja lahko to rešujejo na različne načine, odvisno od vaše velikosti in strokovnega znanja o osebju.
"Če ste veliko podjetje, ki si lahko privošči čas za skrbnost, lahko vsakemu prodajalcu postavite seznam vprašanj, pregledate njihovo revizijsko poročilo in opravite nekaj sestankov za razpravo o varnosti, " je dejal Machado. "Če ste majhno podjetje, morda ne bi imeli strokovnega znanja za analizo revizijskega poročila SOC 2 ali časa za vlaganje v močno razpravo.
"Namesto tega si lahko ogledate stvari, kot je Gartnerjevo poročilo o Magic Quadrantu, in preverite, ali imajo na voljo poročilo SOC 1 ali SOC 2, čeprav nimate časa ali strokovnega znanja, da ga preberete in razumete, " Machado razložil. "Revizijsko poročilo je dober pokazatelj, da podjetja močno vlagajo v varnost v primerjavi s podjetji, ki to niso. Poleg SOC 2. lahko poiščete tudi poročilo SOC 3. Je lahka različica istih standardov, podobna certifikatu. To so stvari, ki jih lahko iščete kot majhno podjetje, da se začne varnost premikati v pravi smeri."
DO: Pogajajte se o varnostnih pogojih v svoji pogodbi
Zdaj ste na mestu, ko ste izbrali prodajalca za VoIP in razmišljate o možnosti odločitve o nakupu. Machado je priporočil, naj pri pogajanjih o pogodbi s prodajalcem oblakov podjetja, kadar je to mogoče, poskušajo pisno pridobiti izrecne varnostne sporazume in pogoje.
"Majhno podjetje, veliko podjetje, ni pomembno. Manjše ko je podjetje, manj moči boste morali pogajati o teh določenih pogojih, vendar gre za scenarij" ne sprašuj, ne spravi ", " je dejal Machado. "Poglejte, kaj lahko dobite pri prodajnih pogodbah glede varnostnih obveznosti od prodajalca."
Uvajanje varnostnih ukrepov za VoIP
DO: Uporabite šifrirane VoIP storitve
Ko gre za uvajanje, je Machado dejal, da nobena opravičitev sodobne VoIP storitve ne ponuja šifriranja od konca do konca. Machado je priporočil, da organizacije iščejo storitve, ki podpirajo šifriranje varnostnega nivoja prometa (TLS) ali varno sprotno prevajanje protokola v realnem času (SRTP), in to v najboljšem primeru, ne da bi pri tem uvedli osnovne varnostne ukrepe.
"Ne gre vedno za najcenejšo storitev; za varnejši VoIP lahko plačate premijo. Še bolje je, ko vam ni treba plačati premije za varnost v oblačnih storitvah, " je dejal Machado. "Kot stranka bi morali imeti možnost, da omogočite šifrirano VoIP in izklopite. Pomembno je tudi, da ponudnik v mirovanju ne uporablja samo šifrirane signalizacije, ampak tudi šifrira medije. Ljudje želijo, da so njihovi pogovori zasebni, ne pa da bi radi po internetu. z navadnim besedilnim glasom. Prepričajte se, da bo vaš prodajalec podpiral to raven šifriranja in da vas to ne bo stalo več."
NE: Zmešajte svoje LAN
Na omrežni strani vaše namestitve ima večina organizacij kombinacijo mobilnih telefonov in vmesnikov, ki temeljijo na oblaku. Mnogi zaposleni morda ravno uporabljajo mobilno aplikacijo VoIP ali softphone, vendar je pogosto na voljo tudi miza pisalnih telefonov in konferenčnih telefonov, povezanih z omrežjem VoIP. Pri vseh teh faktorjih je Machado dejal, da je ključnega pomena, da ne mešate obrazcev in povezanih naprav v isti omrežni zasnovi.
"Želite postaviti ločen glasovni LAN. Ne želite, da se vaši telefoni s trdim glasom združujejo v istem omrežju z vašimi delovnimi postajami in tiskalniki. To ni dobro oblikovanje omrežja, " je dejal Machado. "Če imate, obstajajo problematične posledice za varnost. Ni razloga, da se vaši delovni prostori med seboj pogovarjajo. Mojemu prenosniku ni treba govoriti z vašim; to ni isto kot kmetija strežnikov, s katerimi se pogovarjajo aplikacije. baze podatkov."
Namesto tega Machado priporoča…
DO: Nastavite zasebne VLAN-e
Zasebni VLAN (virtualni LAN), kot je pojasnil Machado, omogoča, da IT managerji bolje segmentirajo in nadzorujejo vaše omrežje. Zasebni VLAN deluje kot enotna točka dostopa in povezave za povezavo naprave z usmerjevalnikom, strežnikom ali omrežjem.
"Z vidika varnostne arhitekture končne točke so zasebni VLAN-ji dobra omrežna zasnova, saj vam omogočajo, da to funkcijo vklopite na stikalu, ki pravi, da" ta delovna postaja ne more govoriti z drugo delovno postajo. " Če imate svoje VoIP telefone ali glasovne naprave v istem omrežju kot vse drugo, to ne deluje, "je dejal Machado. "Pomembno je, da svoj namenski glasovni LAN nastavite kot del bolj privilegirane varnostne zasnove."
NE: Pusti svoj VoIP zunaj požarnega zidu
Vaš VoIP telefon je računalniška naprava, priključena na Ethernet. Kot povezan končni točki je Machado dejal, da je pomembno, da si stranke zapomnijo, da mora biti tako kot vsaka druga računalniška naprava tudi za podjetniškim požarnim zidom.
"VoIP telefon ima uporabniški vmesnik za uporabnike, ki se lahko prijavijo, in skrbniki za sistemsko administracijo po telefonu. Ni vsak VoIP telefon vdelane programske opreme za zaščito pred brutalnimi napadi, " je dejal Machado. "Vaš e-poštni račun se bo zaklenil po nekaj poskusih, vendar ne vsak VoIP telefon deluje enako. Če pred njim ne postavite požarnega zidu, je kot odpiranje te spletne aplikacije vsem, ki želijo napisati skript brutalna napad in se prijavi."
Upravljanje VoIP sistema
DO: Spremenite privzeta gesla
Ne glede na proizvajalca, od katerega prejmete svoje VoIP prenosne enote, bodo naprave dobavljene s privzetimi poverilnicami, kot kateri koli drug kos strojne opreme, ki je priložen spletnemu uporabniškemu vmesniku. Da bi se izognili vrsti preprostih ranljivosti, ki so privedle do napada Mirai botnet DDoS, je Machado dejal, da je najlažje storiti preprosto spremembo privzetih nastavitev.
"Stranke morajo sprejeti proaktivne ukrepe za zaščito svojih telefonov, " je dejal Machado. "Takoj spremenite privzeta gesla ali pa, če vaš prodajalec upravlja končne točke telefona, preverite, ali v vašem imenu spreminjajo ta privzeta gesla."
DO: Spremljajte svojo uporabo
Ne glede na to, ali gre za oblačni telefonski sistem, lokalni govorni sistem ali zasebno poslovno enoto (PBX), je Machado dejal, da imajo vse VoIP storitve napadalno površino in se lahko sčasoma zlomijo. Ko se to zgodi, je dejal, da je eden najbolj tipičnih napadov prevzem računa (ATO), znan tudi kot telekomunikacijska goljufija ali črpanje prometa. To pomeni, da ob napadu na VoIP sistem napadalec poskuša vzpostaviti klice, ki stanejo tega lastnika. Najboljša obramba je, da spremljate svojo uporabo.
"Recimo, da ste akter grožnje. Imate dostop do govornih storitev in poskušate klicati. Če vaša organizacija spremlja njegovo uporabo, boste lahko opazili, če je nenavadno visok račun ali glej nekaj kot uporabnik 45 minut po telefonu z lokacijo, na katero noben zaposleni nima razloga za klic. Vse je v tem, da bodite pozorni, "je dejal Machado.
"Če to uporabljate v oblaku (kar pomeni, da ne uporabljate tradicionalne PBX ali lokalnega VoIP-a), se pogovorite s prodajalcem in vprašajte, kaj počnete, da me zaščitite, " je dodal. "Ali obstajajo gumbi in številke, ki jih lahko vklopim in izklopim v zvezi s storitvijo? Ali izvajate spremljanje goljufij v zadnjem delu ali analizo vedenja uporabnikov, ki v mojem imenu iščejo nenavadno uporabo? To je pomembno vprašanje."
NE: Imajte preširokih varnostnih dovoljenj
Glede uporabe je eden od načinov za omejitev morebitne škode ATO izključitev dovoljenj in funkcij, za katere veste, da vaše podjetje ne potrebuje, za vsak primer. Machado je kot primer navedel mednarodno klicanje.
"Če vašemu podjetju ni treba poklicati vseh delov sveta, potem ne vklopite vseh delov sveta, " je dejal. "Če poslujete le v ZDA, Kanadi in Mehiki, ali želite, da je vsaka druga država na voljo za klic ali je smiselno, da jo zaprete v primeru ATO? Ne puščajte prevelikih dovoljenj za vašim uporabnikom za katero koli tehnološko storitev in vse, kar ni potrebno za vašo poslovno uporabo, šteje za splošno."
NE: Pozabi na krpanje
Za vsako programsko opremo je ključnega pomena spremljanje in vzdrževanje tekočih posodobitev. Ne glede na to, ali uporabljate softver, mobilno aplikacijo VoIP ali kakršno koli strojno opremo s posodobitvami strojne programske opreme, je Machado dejal, da tega ne zanimajo.
"Ali upravljate s svojimi telefoni VoIP? Če prodajalec sprosti vdelano programsko opremo, jo hitro preizkusite in uvedete - pogosto se ukvarjajo s popravki vseh vrst. Včasih varnostni popravki prihajajo od prodajalca, ki upravlja telefon v vašem imenu, torej v tem primeru, ne pozabite vprašati, kdo nadzoruje krpanje in kakšen je cikel, "je dejal Machado.
DO: Omogoči močno preverjanje pristnosti
Močna dvofaktorska overitev in vlaganje v težje upravljanje identitete je še ena pametna varnostna praksa. Machado je poleg VoIP-a dejal, da je avtentikacija vedno pomemben dejavnik.
"Vedno vklopite močno avtentikacijo. To ni nič drugače, če se prijavite v svoj PBX v oblaku ali v e-pošto ali v CRM. Poiščite te funkcije in jih uporabite, " je dejal Machado. "Ne govorimo samo o telefonih na vaši mizi; govorimo o spletnih aplikacijah in vseh različnih delih storitve. Razumite, kako se kosi združijo in vsak kos pritrdijo."
