Panoramica della sicurezza per Il gateway di comunicazione di Azure

Gli handle del gateway di comunicazione di Azure per i dati dei clienti possono essere suddivisi in:

• Dati del contenuto, ad esempio supporti per le chiamate vocali.
• Dati del cliente di cui è stato effettuato il provisioning nel gateway di comunicazione di Azure o presenti nei metadati delle chiamate.

Conservazione dei dati, sicurezza dei dati e crittografia dei dati inattivi

Il gateway di comunicazione di Azure non archivia i dati del contenuto, ma archivia i dati dei clienti.

• I dati dei clienti di cui è stato effettuato il provisioning nel gateway di comunicazione di Azure includono la configurazione di numeri per servizi di comunicazione specifici. È necessario associare i numeri a questi servizi di comunicazione e apportare (facoltativamente) modifiche specifiche del numero alle chiamate, ad esempio l'aggiunta di intestazioni personalizzate.
• I dati temporanei dei clienti dai metadati delle chiamate vengono archiviati per un massimo di 30 giorni e usati per fornire statistiche. Dopo 30 giorni, i dati dei metadati delle chiamate non sono più accessibili per eseguire la diagnostica o l'analisi delle singole chiamate. Le statistiche anonime e i log prodotti in base ai dati dei clienti sono disponibili dopo il limite di 30 giorni.

L'accesso dell'organizzazione al gateway di comunicazione di Azure viene gestito tramite Microsoft Entra ID. Per altre informazioni sulle autorizzazioni necessarie per il personale, vedere Configurare i ruoli utente per Gateway di comunicazione di Azure. Per informazioni sull'ID Microsoft Entra con l'API di provisioning, vedere le informazioni di riferimento sulle API per l'API di provisioning.

Gateway di comunicazione di Azure non supporta Customer Lockbox per Microsoft Azure. Tuttavia, i tecnici Microsoft possono accedere ai dati solo in tempo reale e solo a scopo diagnostico.

Il gateway di comunicazione di Azure archivia tutti i dati inattivi in modo sicuro, inclusa la configurazione del cliente e del numero di cui è stato effettuato il provisioning e tutti i dati temporanei dei clienti, ad esempio i record delle chiamate. Il gateway di comunicazione di Azure usa l'infrastruttura standard di Azure, con chiavi di crittografia gestite dalla piattaforma, per fornire la crittografia lato server conforme a una gamma di standard di sicurezza, tra cui FedRAMP. Per altre informazioni, vedere Crittografia dei dati inattivi.

Crittografia dei dati in transito

Tutto il traffico gestito dal gateway di comunicazione di Azure viene crittografato. Questa crittografia viene usata tra i componenti di Gateway di comunicazione di Azure e verso Telefono Microsoft Sistema.

• Il traffico SIP e HTTP viene crittografato tramite TLS.
• Il traffico multimediale viene crittografato tramite SRTP.

Quando si crittografa il traffico da inviare alla rete, Il gateway di comunicazione di Azure preferisce TLSv1.3. Se necessario, viene eseguito il fallback a TLSv1.2.

Certificati TLS per SIP e HTTPS

Il gateway di comunicazione di Azure usa TLS reciproco per SIP e HTTPS, vale a dire che il client e il server per la connessione si verificano reciprocamente.

È necessario gestire i certificati che la rete presenta al gateway di comunicazione di Azure. Per impostazione predefinita, Il gateway di comunicazione di Azure supporta il certificato DigiCert Global Root G2 e il certificato Baltimore CyberTrust Root come certificati dell'autorità di certificazione radice (CA). Se il certificato presentato dalla rete al gateway di comunicazione di Azure usa un certificato CA radice diverso, è necessario fornire questo certificato al team di onboarding quando si connette Il gateway di comunicazione di Azure alle reti.

Microsoft gestisce il certificato usato da Gateway di comunicazione di Azure per connettersi alla rete, Telefono Microsoft server Di sistema e Zoom. Il certificato di Gateway di comunicazione di Azure usa il certificato DigiCert Global Root G2 come certificato CA radice. Se la rete non supporta già questo certificato come certificato CA radice, è necessario scaricare e installare questo certificato quando si connette Il gateway di comunicazione di Azure alle reti.

Pacchetti di crittografia per TLS (per SIP e HTTPS) e SRTP

I pacchetti di crittografia seguenti vengono usati per crittografare SIP, HTTP e RTP.

Crittografie usate con TLSv1.2 per SIP e HTTPS

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Crittografie usate con TLSv1.3 per SIP e HTTPS

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

Crittografie usate con SRTP

• AES_CM_128_HMAC_SHA1_80

Passaggi successivi

• Leggere la baseline di sicurezza per Il gateway di comunicazione di Azure
• Informazioni sui ruoli utente per Gateway di comunicazione di Azure
• Informazioni sulla pianificazione di una distribuzione di Gateway di comunicazione di Azure