Overzicht van beveiliging voor Azure Communications Gateway

De azure Communications Gateway-ingangen van de klantgegevens kunnen worden gesplitst in:

• Inhoudsgegevens, zoals media voor spraakoproepen.
• Klantgegevens die zijn ingericht in Azure Communications Gateway of aanwezig zijn in gespreksmetagegevens.

Gegevensretentie, gegevensbeveiliging en -versleuteling in rust

Azure Communications Gateway slaat geen inhoudsgegevens op, maar slaat wel klantgegevens op.

• Klantgegevens die zijn ingericht in Azure Communications Gateway, bevatten configuratie van nummers voor specifieke communicatieservices. Het is nodig om nummers aan deze communicatieservices te koppelen en (optioneel) nummerspecifieke wijzigingen aan te brengen in aanroepen, zoals het toevoegen van aangepaste headers.
• Tijdelijke klantgegevens uit oproepmetagegevens worden maximaal 30 dagen opgeslagen en gebruikt om statistieken te verstrekken. Na 30 dagen zijn gegevens uit metagegevens van aanroepen niet langer toegankelijk om diagnostische gegevens of analyses van afzonderlijke aanroepen uit te voeren. Geanonimiseerde statistieken en logboeken die worden geproduceerd op basis van klantgegevens, zijn beschikbaar na de limiet van 30 dagen.

De toegang van uw organisatie tot Azure Communications Gateway wordt beheerd met behulp van Microsoft Entra-id. Zie Gebruikersrollen instellen voor Azure Communications Gateway voor meer informatie over de machtigingen die uw personeel nodig heeft. Zie de API-verwijzing voor de inrichtings-API voor informatie over Microsoft Entra-id met de inrichtings-API.

Azure Communications Gateway biedt geen ondersteuning voor Customer Lockbox voor Microsoft Azure. Microsoft-technici hebben echter alleen toegang tot gegevens op just-in-time-basis en alleen voor diagnostische doeleinden.

Azure Communications Gateway slaat alle data-at-rest veilig op, inclusief de ingerichte klant- en nummerconfiguratie en tijdelijke klantgegevens, zoals oproeprecords. Azure Communications Gateway maakt gebruik van een standaard Azure-infrastructuur, met door het platform beheerde versleutelingssleutels, om versleuteling aan de serverzijde te bieden die voldoet aan een reeks beveiligingsstandaarden, waaronder FedRAMP. Zie versleuteling van data-at-rest voor meer informatie.

Versleuteling 'in transit'

Al het verkeer dat wordt verwerkt door Azure Communications Gateway, wordt versleuteld. Deze versleuteling wordt gebruikt tussen Azure Communications Gateway-onderdelen en naar Microsoft Telefoon Systeem.

• SIP- en HTTP-verkeer wordt versleuteld met BEHULP van TLS.
• Mediaverkeer wordt versleuteld met SRTP.

Bij het versleutelen van verkeer dat naar uw netwerk moet worden verzonden, geeft Azure Communications Gateway de voorkeur aan TLSv1.3. Het valt zo nodig terug naar TLSv1.2.

TLS-certificaten voor SIP en HTTPS

Azure Communications Gateway maakt gebruik van wederzijdse TLS voor SIP en HTTPS, wat betekent dat zowel de client als de server voor de verbinding elkaar verifiëren.

U moet de certificaten beheren die uw netwerk presenteert aan Azure Communications Gateway. Standaard ondersteunt Azure Communications Gateway het DigiCert Global Root G2-certificaat en het Baltimore CyberTrust Root-certificaat als ca-certificaten (root certificate authority). Als het certificaat dat uw netwerk aan Azure Communications Gateway presenteert een ander basis-CA-certificaat gebruikt, moet u dit certificaat aan uw onboardingteam verstrekken wanneer u Azure Communications Gateway verbindt met uw netwerken.

We beheren het certificaat dat Azure Communications Gateway gebruikt om verbinding te maken met uw netwerk, Microsoft Telefoon Systeem- en Zoom-servers. Het certificaat van Azure Communications Gateway maakt gebruik van het DigiCert Global Root G2-certificaat als basis-CA-certificaat. Als uw netwerk dit certificaat nog niet ondersteunt als basis-CA-certificaat, moet u dit certificaat downloaden en installeren wanneer u Azure Communications Gateway verbindt met uw netwerken.

Coderingssuites voor TLS (voor SIP en HTTPS) en SRTP

De volgende coderingssuites worden gebruikt voor het versleutelen van SIP, HTTP en RTP.

Coderingen die worden gebruikt met TLSv1.2 voor SIP en HTTPS

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Coderingen die worden gebruikt met TLSv1.3 voor SIP en HTTPS

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Coderingen die worden gebruikt met SRTP

• AES_CM_128_HMAC_SHA1_80

Volgende stappen

• De beveiligingsbasislijn voor Azure Communications Gateway lezen
• Meer informatie over gebruikersrollen voor Azure Communications Gateway
• Meer informatie over het plannen van een Azure Communications Gateway-implementatie