Visão geral da segurança do Gateway de Comunicações do Azure

Os dados do cliente que o Azure Communications Gateway manipula podem ser divididos em:

  • Dados de conteúdo, como mídia para chamadas de voz.
  • Dados do cliente provisionados no Gateway de Comunicações do Azure ou presentes em metadados de chamada.

Retenção de dados, segurança de dados e criptografia em repouso

O Gateway de Comunicações do Azure não armazena dados de conteúdo, mas armazena dados de clientes.

  • Os dados do cliente provisionados no Gateway de Comunicações do Azure incluem a configuração de números para serviços de comunicação específicos. É necessário fazer a correspondência de números com esses serviços de comunicação e (opcionalmente) fazer alterações específicas de número nas chamadas, como adicionar cabeçalhos personalizados.
  • Os dados temporários do cliente dos metadados de chamada são armazenados por no máximo 30 dias e usados para fornecer estatísticas. Após 30 dias, os dados dos metadados de chamadas não estão mais acessíveis para realizar diagnósticos ou análises de chamadas individuais. Estatísticas anônimas e logs produzidos com base em dados de clientes ficam disponíveis após o limite de 30 dias.

O acesso da sua organização ao Gateway de Comunicações do Azure é gerenciado usando a ID do Microsoft Entra. Para obter mais informações sobre as permissões de que sua equipe precisa, consulte Configurar funções de usuário para o Gateway de Comunicações do Azure. Para obter informações sobre a ID do Microsoft Entra com a API de provisionamento, consulte a Referência de API para a API de provisionamento.

O Gateway de Comunicações do Azure não oferece suporte ao Customer Lockbox para Microsoft Azure. No entanto, os engenheiros da Microsoft só podem acessar dados em uma base just-in-time e apenas para fins de diagnóstico.

O Gateway de Comunicações do Azure armazena todos os dados em repouso com segurança, incluindo a configuração provisionada de clientes e números e quaisquer dados temporários de clientes, como registros de chamadas. O Gateway de Comunicações do Azure usa a infraestrutura padrão do Azure, com chaves de criptografia gerenciadas por plataforma, para fornecer criptografia do lado do servidor compatível com uma variedade de padrões de segurança, incluindo FedRAMP. Para obter mais informações, consulte Criptografia de dados em repouso.

Criptografia em trânsito

Todo o tráfego manipulado pelo Gateway de Comunicações do Azure é criptografado. Essa criptografia é usada entre os componentes do Gateway de Comunicações do Azure e para o Microsoft Phone System.

  • O tráfego SIP e HTTP é criptografado usando TLS.
  • O tráfego de mídia é criptografado usando SRTP.

Ao criptografar o tráfego para enviar à sua rede, o Gateway de Comunicações do Azure prefere o TLSv1.3. Ele volta para TLSv1.2 se necessário.

Certificados TLS para SIP e HTTPS

O Gateway de Comunicações do Azure usa TLS mútuo para SIP e HTTPS, o que significa que o cliente e o servidor da conexão se verificam.

Você deve gerenciar os certificados que sua rede apresenta ao Gateway de Comunicações do Azure. Por padrão, o Gateway de Comunicações do Azure dá suporte ao certificado DigiCert Global Root G2 e ao certificado Baltimore CyberTrust Root como certificados de autoridade de certificação (CA) raiz. Se o certificado que sua rede apresenta ao Gateway de Comunicações do Azure usar um certificado de autoridade de certificação raiz diferente, você deverá fornecer esse certificado à sua equipe de integração ao conectar o Gateway de Comunicações do Azure às suas redes.

Gerenciamos o certificado que o Gateway de Comunicações do Azure usa para se conectar à sua rede, ao Microsoft Phone System e aos servidores Zoom. O certificado do Azure Communications Gateway usa o certificado DigiCert Global Root G2 como o certificado de CA raiz. Se a sua rede ainda não suportar este certificado como um certificado de AC raiz, tem de transferir e instalar este certificado quando ligar o Azure Communications Gateway às suas redes.

Conjuntos de codificação para TLS (para SIP e HTTPS) e SRTP

Os conjuntos de codificação a seguir são usados para criptografar SIP, HTTP e RTP.

Cifras usadas com TLSv1.2 para SIP e HTTPS

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Cifras usadas com TLSv1.3 para SIP e HTTPS

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Cifras usadas com SRTP

  • AES_CM_128_HMAC_SHA1_80

Próximas etapas