Übersicht über die Sicherheit für das Azure Communications Gateway

Die Kundendaten von Azure Communications Gateway-Handles können in:

  • Inhaltsdaten, z. B. Medien für Sprachanrufe.
  • Kundendaten, die im Azure Communications Gateway bereitgestellt oder in Anrufmetadaten vorhanden sind.

Datenaufbewahrung, Datensicherheit und Verschlüsselung ruhender Daten

Das Azure Communications Gateway speichert keine Inhaltsdaten, speichert aber Kundendaten.

  • Kundendaten, die auf dem Azure Communications Gateway bereitgestellt werden, umfassen die Konfiguration von Nummern für bestimmte Kommunikationsdienste. Es ist erforderlich, Nummern mit diesen Kommunikationsdiensten abzugleichen und (optional) nummernspezifische Änderungen an Anrufen vorzunehmen, z. B. das Hinzufügen von benutzerdefinierten Headern.
  • Temporäre Kundendaten aus Anrufmetadaten werden maximal 30 Tage lang gespeichert und zur Bereitstellung von Statistiken verwendet. Nach 30 Tagen können Daten aus Anrufmetadaten nicht mehr Diagnose oder Analysen einzelner Aufrufe ausführen. Anonymisierte Statistiken und Protokolle, die auf Kundendaten basieren, sind nach dem Grenzwert von 30 Tagen verfügbar.

Der Zugriff Ihrer Organisation auf das Azure Communications Gateway wird mithilfe der Microsoft Entra-ID verwaltet. Weitere Informationen zu den Berechtigungen, die Ihre Mitarbeiter benötigen, finden Sie unter Einrichten von Benutzerrollen für das Azure Communications Gateway. Informationen zur Microsoft Entra-ID mit der Bereitstellungs-API finden Sie in der API-Referenz für die Bereitstellungs-API.

Das Azure Communications Gateway unterstützt keine Kunden-Lockbox für Microsoft Azure. Microsoft-Techniker können jedoch nur auf Just-in-Time-Basis auf Daten zugreifen und nur zu Diagnosezwecken.

Das Azure Communications Gateway speichert alle ruhenden Daten sicher, einschließlich bereitgestellter Kunden- und Nummernkonfiguration und temporärer Kundendaten, z. B. Anrufdaten. Azure Communications Gateway verwendet standardmäßige Azure-Infrastruktur mit plattformverwalteten Verschlüsselungsschlüsseln, um serverseitige Verschlüsselung mit einer Reihe von Sicherheitsstandards einschließlich FedRAMP bereitzustellen. Weitere Informationen finden Sie unter Verschlüsselung ruhender Daten.

Verschlüsseln während der Übertragung

Der gesamte datenverkehr, der vom Azure Communications Gateway verarbeitet wird, wird verschlüsselt. Diese Verschlüsselung wird zwischen Azure Communications Gateway-Komponenten und zu Microsoft-Telefon System verwendet.

  • SIP- und HTTP-Datenverkehr werden mit TLS verschlüsselt.
  • Mediendatenverkehr wird mit SRTP verschlüsselt.

Beim Verschlüsseln von Datenverkehr, der an Ihr Netzwerk gesendet werden soll, bevorzugt Azure Communications Gateway TLSv1.3. Es fällt bei Bedarf auf TLSv1.2 zurück.

TLS-Zertifikate für SIP und HTTPS

Azure Communications Gateway verwendet gegenseitiges TLS für SIP und HTTPS, was bedeutet, dass sowohl der Client als auch der Server für die Verbindung einander überprüfen.

Sie müssen die Zertifikate verwalten, die Ihr Netzwerk dem Azure Communications Gateway anzeigt. Standardmäßig unterstützt Azure Communications Gateway das DigiCert Global Root G2-Zertifikat und das Baltimore CyberTrust Root-Zertifikat als Zertifizierungsstelle (Root Certificate Authority, CA). Wenn das Zertifikat, das Ihr Netzwerk dem Azure Communications Gateway präsentiert, ein anderes Zertifikat der Stammzertifizierungsstelle verwendet, müssen Sie dieses Zertifikat ihrem Onboardingteam bereitstellen, wenn Sie das Azure Communications Gateway mit Ihren Netzwerken verbinden.

Wir verwalten das Zertifikat, das Azure Communications Gateway zum Herstellen einer Verbindung mit Ihrem Netzwerk verwendet, Microsoft-Telefon System- und Zoomservern. Das Zertifikat des Azure Communications Gateway verwendet das DigiCert Global Root G2-Zertifikat als Stammzertifizierungsstelle-Zertifikat. Wenn Ihr Netzwerk dieses Zertifikat noch nicht als Stammzertifizierungsstellenzertifikat unterstützt, müssen Sie dieses Zertifikat herunterladen und installieren, wenn Sie das Azure Communications Gateway mit Ihren Netzwerken verbinden.

Verschlüsselungssammlungen für TLS (für SIP und HTTPS) und SRTP

Die folgenden Verschlüsselungssammlungen werden zum Verschlüsseln von SIP, HTTP und RTP verwendet.

Verschlüsselungen, die mit TLSv1.2 für SIP und HTTPS verwendet werden

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Verschlüsselungen, die mit TLSv1.3 für SIP und HTTPS verwendet werden

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Verschlüsselungen, die mit SRTP verwendet werden

  • AES_CM_128_HMAC_SHA1_80

Nächste Schritte