ip电话(VoIP)是小企业所能购买的最具成本效益的网络解决方案之一,但如果你不睁大眼睛,你很快就会从这些节省中分得一杯水。了解语音在数据网络上运行的所有方面是成功部署这项技术的关键。VoIP最重要的方面之一,也是在部署项目和规划会议中经常被忽视的方面,就是安全性。
如今,这可能是一个非常严重的错误,原因有几个。首先,由于疫情,许多企业正在转向更加分布式的网络模式。用户在家工作,对许多公司来说,这可能成为永久性的。这意味着你的干净而统一的办公网络现在连接到一个潜在的老鼠窝,由运行未知(通常是默认)设置的未知路由器组成的家庭网络,以及连接到一个大杂烩的个人、未管理的设备。这不仅会影响VoIP的性能(即通话的清晰度),还会影响口令保护和通信完整性的安全性。
这就导致了分布式VoIP架构的另一个问题。现在大多数VoIP提供商都有某种形式的统一通信即服务(UCaaS)软件客户端,或称软电话。这不仅仅是在你的个人电脑或移动设备上运行的电话,尽管这是许多公司最流行的用法。对于许多提供者来说,比如RingCentral的Glip在美国,这些工具将电话功能与基于文本的聊天、共享会议、视频会议、日程安排以及文件共享和数据传输等功能相结合。管理如此强大的应用程序的安全性至关重要。
无论是确保安全的用户身份验证和网络配置,还是在所有VoIP通信和数据存储中启用端到端加密,组织都需要在监督it管理和与他们密切合作方面勤奋业务网络电话供应商确保安全要求得到满足和执行。
Michael Machado,首席安全官(CSO)RingCentral他负责监督RingCentral所有云和VoIP服务的安全。Machado在IT和云安全领域工作了18年,最初是在网讯在思科收购了视频会议服务。
在你公司的VoIP通信中,安全考虑从研究和购买阶段就开始了,甚至在你选择一个VoIP提供商之前,并持续到实施和管理。马查多从安全的角度介绍了整个过程,并停下来解释了很多对各种规模的企业应该做和不应该做的事情。
选择您的VoIP提供商
不要:忽视共享安全模型
无论你是小企业还是大企业,你需要了解的第一件事——独立于VoIP和统一Communications-as-a-Service(UCaaS),即所有云服务通常都需要有一个共享的安全模型。Machado表示,作为客户,您的企业总是在您所采用的所有云服务的安全实现方面分担一些责任。
马查多说:“客户理解这一点很关键,尤其是当一家公司规模较小,资源较少的时候。”“人们认为网络电话是连接在铜线上的机械设备。它不是。一个网络电话,无论是一个实体电话,一个运行软件的计算机,一个移动应用程序,或一个软件电话应用程序,它与一个插入PSTN[公用交换机电话网]。它不像普通的手机——你将有一些责任,以确保客户和供应商之间的安全是一个闭环。”
供应商尽职调查
一旦你理解了这种共同的责任,并且想要采用云VoIP服务,那么在选择你的供应商时,做你的尽职调查是有意义的。根据企业的规模和对员工的专业知识,Machado解释了企业和中小型企业(SMBs)如何以不同的方式实现这一点。
Machado说:“如果你是一家有能力花时间进行尽职调查的大公司,你可以列出一份问题清单,询问每个供应商,审阅他们的审计报告,并召开几次会议讨论安全问题。”“如果你是一家小型企业,你可能没有分析[服务组织控制]的专业知识。SOC 2(在一个新窗口中打开)审计报告或投入时间进行繁重的升降机讨论。
Machado解释说:“相反,你可以看看Gartner的Magic Quadrant报告,看看他们是否有SOC 1或SOC 2报告,即使你没有时间或专业知识来通读和理解它。”他说:“审计报告很好地显示了在安全方面进行了大量投资的公司与没有进行投资的公司之间的差异。你也可以找一个SOC 3报告(在一个新窗口中打开)除了SOC 2。它是相同标准的轻量级、类似认证的版本。作为一家小型企业,你可以从这些方面着手,开始在安全方面朝着正确的方向发展。”
是否:在合同中协商安全条款
现在你已经选择了一个VoIP供应商,你正在考虑做出购买决定的可能性。Machado建议,只要有可能,企业在与云供应商谈判合同时,应该尝试以书面形式获得明确的安全协议和条款。
“小公司,大公司,都无所谓。公司越小,你在这些具体条款上的谈判权力就越小,但这是一种‘不问就得不到’的情况。”“看看你能在供应商协议中从供应商那里得到什么关于安全义务的内容。”
实现网络安全
使用加密的VoIP服务
说到部署,马查多说,现代VoIP服务没有理由不提供端到端加密。Machado建议组织寻找支持的服务传输层安全(TLS)或安全实时传输协议(在一个新窗口中打开)(SRTP)加密,理想情况下,它做到了这一点,而不需要推销核心安全措施。
“不要总是选择最便宜的服务;为更安全的网络电话支付额外费用是值得的。如果你不需要为云服务的安全支付额外费用,那就更好了。“作为客户,你应该能够启用加密VoIP,然后就可以走了。同样重要的是,提供者不仅要使用加密的信号,还要使用静止时加密的媒体。人们希望他们的对话是私密的,而不是通过纯文本语音穿越互联网。确保你的供应商支持这种级别的加密,而且不会让你花更多的钱。”
不要:混合使用你的局域网
在部署的网络端,大多数组织都混合使用了手机和基于云的接口。许多员工可能只是使用VoIP移动应用程序或软电话,但通常也会有连接到VoIP网络的台式电话和会议电话。Machado表示,在同一网络设计中,不要将外形因素和连接设备混为一谈是至关重要的。
“你想要建立一个独立的声音局域网.您不希望硬音电话与工作站和打印机在同一网络上混合。这不是好的网络设计,”马查多说。“如果你走那条路,就会出现安全问题。您的工作空间没有理由相互通信。我的笔记本电脑不需要和你的电脑通话;这与应用程序与数据库通信的服务器群不同。”
相反,马查多推荐……
设置私有vlan
一个私人VLAN(在一个新窗口中打开)(虚拟局域网),正如Machado解释的那样,让IT经理更好地控制他们的网络,因为它有效地将特定类型的流量(在这种情况下是VoIP)分割到自己的网络上。虽然有其他方法可以保护你的VoIP流量,防止网络上运行的其他应用程序流量产生拥塞(我们在这里讨论的是服务质量(QoS)),但分离VoIP流量是目标,没有什么比将其放在自己的网络上更能隔离流量了。私有VLAN作为一个单独的接入点和上行链路点,连接设备到路由器、服务器或网络。
“从终端安全从架构的角度来看,私有vlan是一个很好的网络设计,因为它们让你能够打开开关上的这个功能,即“这个工作站不能与另一个工作站通话”。如果你的VoIP电话或语音设备与其他设备在同一网络上,这就行不通了。”“将专用语音局域网设置为更优先的安全设计的一部分是很重要的。”
不要:把你的网络电话放在防火墙之外
你的网络电话是一个接入以太网或Wi-Fi网络的计算设备。Machado表示,作为连接终端,重要的是客户要记住,就像任何其他计算设备一样,它也需要在企业防火墙后面。
“VoIP电话有一个用户界面,用户可以登录,管理员可以在电话上进行系统管理。并不是所有的网络电话都有固件来防止暴力攻击。“你的电子邮件账户在尝试几次后就会锁定,但并不是所有的VoIP电话都是这样工作的。如果你不在它前面安装防火墙,这就像在互联网上向任何想要编写暴力攻击脚本并登录的人打开web应用程序一样。”
对于那些要在员工家中部署此类设备的公司来说,这一过程必然更加复杂。首先,考虑强制使用软电话,而不是麻烦地推出大量手机。用一副配有麦克风的廉价耳机,软电话就能像普通电话一样有效易用。它们也在可能无线连接到家庭网络的个人电脑或移动设备上,这意味着它们会自动在家庭路由器的防火墙后面。
然而,IT部门应该确保每个家庭18beplay官网 不仅实现了防火墙,而且以VoIP友好的方式做到了这一点。这意味着IT人员需要在不同的路由器设备上进行一些测试,但一旦这些测试完成,他们应该能够帮助家庭用户通过电话相当快速地实现适当的设置。
VoIP服务管理
修改默认密码
不管你从哪个制造商那里收到你的VoIP手机,这些设备都会像任何其他硬件一样带有默认的凭据,并附带web UI。避免那种简单的漏洞导致Mirai僵尸网络DDoS攻击马查多说,最简单的方法就是改变这些默认设置。
马查多说:“客户需要采取积极的措施来保护他们的手机。”“立即更改默认密码,或者,如果你的供应商为你管理电话终端,确保他们为你更改默认密码。”
要:记录你的使用情况
无论是云电话系统,室内语音系统,还是专用小交换机(PBX), Machado说,所有的VoIP服务都有一个攻击面,最终可能会被黑客攻击。他说,当这种情况发生时,最典型的攻击之一是账户接管(ATO),也被称为电信欺诈或流量泵送。这意味着,当一个VoIP系统被黑客攻击时,攻击者试图拨打需要用户付费的电话。最好的防御方法是跟踪你的使用情况。
“假设你是一个威胁行为者。你可以使用语音服务,你想打电话出去。如果您的组织正在监视它的使用情况,那么您将能够发现是否有异常高的账单,或者看到像一个用户在一个没有任何员工有任何理由打电话的位置打了45分钟电话这样的事情。关键在于注意力。”马查多说。
他补充说:“如果你正在‘云端化’(意思是,不使用传统的PBX或只使用本地网络电话),那就和你的服务提供商谈谈,问问你在做什么来保护我。”“在服务方面,是否有我可以打开或关闭的旋钮和刻度盘?”你是否在做后端欺诈监控或用户行为分析,以我的名义寻找异常使用?这些都是很重要的问题。”
不要:拥有过宽的安全权限
在使用方面,限制潜在ATO损害的一种方法是关闭您知道业务不需要的权限和功能,以防万一。马查多举了一个国际电话的例子。
他说:“如果你的公司不需要给世界各地打电话,那就不要给世界各地打电话。”“如果你只在美国、加拿大和墨西哥做生意,你是希望其他所有国家都可以打电话给你,还是就像ATO那样关闭它就有意义?”对于任何技术服务,不要给用户留下任何过于宽泛的权限,任何不是您的业务使用所必需的都被视为过于宽泛。”
不要:忘记补丁
修补补丁并保持更新是任何一种软件的关键。无论你使用的是软电话、VoIP移动应用程序,还是任何一种有固件更新的硬件,Machado说,这是一个无需思考的问题。
“你在管理自己的网络电话吗?”如果供应商发布了固件,快速测试并部署它——这些通常处理所有类型的补丁。有时,安全补丁来自代表你管理手机的供应商,所以,在这种情况下,一定要询问谁控制补丁,以及补丁的周期是什么,”马查多说。
对于分布式部署中可能连接到的大量家庭路由器,打补丁也是至关重要的。最好的情况是控制这些路由器的品牌和型号,这样IT部门就可以自动进行补丁处理,并验证每个设备都符合要求。然而,如果这不能实现,下一步是持续的用户沟通和定期电话帮助,以帮助家庭用户自己更新路由器。
DO:启用强身份验证
双因素认证强,投资重身份管理是另一个聪明的安全实践。马查多说,除了VoIP,认证始终是一个重要的因素。
“始终打开强身份验证。如果你登录你的云PBX或你的电子邮件或你的CRM.寻找并使用这些功能,”Machado说。“我们说的不只是你桌上的手机;我们讨论的是web应用程序和服务的所有不同部分。了解各个部分是如何组合在一起的,并依次确保每个部分的安全。”
