- Domů
- /
- Článek
Úvod
Webex Meetings umožňuje globálním zaměstnancům a virtuálním týmům spolupracovat v reálném čase, překlenout vzdálenosti a vytvořit tak bezproblémový zážitek „v místnosti“. Organizace od komerčních podniků až po vládní agentury se spoléhají na Webex pro zefektivnění obchodních procesů a dosažení lepších výsledků v oblasti prodeje, marketingu, školení, projektového řízení a podpory.
Pro tyto organizace není zabezpečení jen funkcí – je to základní požadavek. Ať už se jedná o plánování schůzek, ověřování účastníků nebo sdílení citlivých dokumentů, spolupráce musí být chráněna v každém kontaktním bodě.
Společnost Cisco tento standard posouvá na vyšší úroveň s Ultra Secure Webex Meetings. Díky integraci architektury Zero Trust přímo do platformy společnost Cisco zajišťuje, že zabezpečení je nedílnou součástí každé interakce. Tento přístup zahrnuje:
- Zero Trust End-to-End Encryption (E2EE)— Pokročilé šifrovací protokoly zajišťují, že obsah schůzek zůstává soukromý a nepřístupný neoprávněným stranám, včetně samotné společnosti Cisco.
- Zero Trust End-to-End Identity (E2EI)– Tato funkce využívá certifikáty poskytnuté zákazníkem k ověření identity účastníků schůzky a poskytuje tak robustní ochranu před neoprávněným přístupem a sofistikovanými deepfake útoky.
Společnost Cisco klade důraz na bezpečnost jako na nejvyšší prioritu v celém procesu návrhu, vývoje, nasazení a údržby svých sítí, platforem a aplikací. Řešení Webex Meetings můžete začlenit do svých obchodních procesů s naprostou jistotou, protože víte, že vaše nástroje pro spolupráci jsou navrženy tak, aby splňovaly i ty nejpřísnější požadavky na zabezpečení a dodržování předpisů.
Co se naučíte
Tento dokument popisuje bezpečnostní funkce platformy pro schůzky Webex Suite (WSMP). Popisuje typy schůzek, možnosti nasazení, funkce, nástroje, procesy a technické řešení, které pomáhají zákazníkům s jistotou spolupracovat na platformě Webex.
Platforma pro konferenční hovory Webex Suite zahrnuje:
- Webex Meetings
- Webex Webinars
- Webex Edge Audio
- Webex Cloud Connected Audio
- Webex Assistant
- Hlasování (od Slido)
Tyto produkty jsou součástí sjednoceného sady Webex Suite, která integruje schůzky, volání, zasílání zpráv, whiteboarding a další funkce a poskytuje tak bezproblémovou spolupráci. Platforma podporuje kapacitu od 2 do 1000 účastníků na schůzce, až po 5000 účastníků webinářů a 100 000 diváků na webových přenosech, s pokročilými funkcemi, jako je asistence s využitím umělé inteligence, překlad v reálném čase a vylepšené bezpečnostní kontroly. Sada Webex Suite je k dispozici prostřednictvím různých nákupních modelů, včetně předplatného Enterprise Agreement a Named User, a nabízí další doplňky a integrace pro splnění rozmanitých organizačních potřeb.
Budoucí funkce
Některé funkce popsané v tomto dokumentu by měly být všeobecně dostupné později v kalendářním roce 2026. Funkce označené symbolem
by měly být dodány ve 3. čtvrtletí kalendářního roku 2026. Funkce označené symbolem 
jsou plánovány k dodání v 1. čtvrtletí kalendářního roku 2027. Pokud potřebujete k těmto funkcím přednostní přístup, kontaktujte prosím svého správce účtu.
Základní služby a komponenty Webex Meetings
- Webex Meetings je součástí sady Webex Suite a poskytuje audio/video konference se sdílením obsahu a možnostmi webových konferencí.
- Platforma zahrnuje několik mikroslužeb, jako jsou Meetings Service, Webinar Service, Identity Service, Recording Service, AI Assistant Service, Analytics Service, Administration Service a Media Service.
- Webex Meetings podporuje cloudové aplikace a zařízení, což uživatelům umožňuje připojit se ke schůzkám z různých operačních platforem a zařízení. Uživatelé se mohou ke schůzkám připojit také prostřednictvím PSTN a pomocí SIP koncových bodů.
Architektura a nasazení
- Služby Webex Meetings jsou regionalizovány a replikovány napříč několika nezávislými datovými centry, aby byla zajištěna redundance a vysoká dostupnost.
- Mediální služby jsou globálně distribuovány s clustery mediálních serverů v každém datovém centru, což zajišťuje lokální a geografickou redundanci.
- Mediální servery zpracovávají hlas, video a sdílení obsahu, přičemž média jsou obvykle šifrována pomocí AES-256-GCM.
- Architektura podporuje šifrovanou signalizaci přes TLS/HTTPS a šifrované mediální streamy.
Webex podporuje připojení ke schůzkám z různých platforem a zařízení, včetně:
- Desktopová aplikace Webex pro Windows, Mac a Linux.
- Mobilní aplikace Webex pro Android a iOS.
- Webová aplikace Webex využívající prohlížeče Chrome, Edge, Safari, Firefox a další.
- Zařízení Cisco pro místnosti a stolní zařízení.
- Koncové body zvuku a videa třetích stran založené na standardech SIP.
- Zařízení PSTN.
Vyvíjející se nasazení Webexu: Upřednostňování suverenity a nulové důvěry v bezpečnost
Vzhledem k tomu, že organizace stále více upřednostňují datovou suverenitu a přísné bezpečnostní standardy, společnost Webex vyvíjí své modely nasazení tak, aby poskytovala větší kontrolu nad obsahem schůzek a zajistila, že zabezpečení nikdy nepůjde na úkor funkčnosti.
Zákaznická suverenita Webexu
V reakci na rostoucí poptávku po rezidentnosti dat zavedl Webex rozšířené funkce pro zajištění suverenity dat. Počínaje nahráváním a s podporou dalších služeb, které budou v budoucnu k dispozici, si nyní organizace mohou udržet kontrolu nad obsahem svých schůzek pomocí:
- Lokalizované zpracování— Zpracování obsahu schůzek, jako jsou nahrávky, v rámci vlastní infrastruktury.
- Místní úložiště— Využívání vlastních služeb ukládání souborů k uložení citlivých dat ze schůzek, čímž se zajistí, že data zůstanou v rámci stanovených geografických nebo organizačních hranic.
Ultra zabezpečené schůzky Webex
Historicky „ultra bezpečné“ funkce, jako je Zero Trust End-to-End Encryption (E2EE), často vyžadovaly kompromis ve funkčnosti schůzek, protože cloudové služby s přidanou hodnotou vyžadovaly přístup k šifrovacím klíčům a k těmto schůzkám se mohl připojit pouze omezený počet typů koncových bodů. Webex tento kompromis eliminoval pomocí:
- Zero Trust s bohatou na funkce— Webex transformoval schůzky s nulovou důvěrou s end-to-end šifrováním (E2EE) a přidal funkce, díky kterým jsou schůzky s nulovou důvěrou bohaté na funkce. Podpora širšího počtu typů koncových bodů poskytuje bezproblémový zážitek bez nutnosti obětovat nástroje nezbytné pro moderní spolupráci.
- Zero Trust pro standardní schůzky— Webex integroval funkce Zero Trust E2EE přímo do standardních schůzek. Díky tomu může i každodenní spolupráce těžit z nejvyšší úrovně zabezpečení a poskytovat konzistentní ochranu v celém ekosystému Webex.
Jednotný přístup ke spolupráci
Integrací zákaznické suverenity s těmito pokročilými funkcemi Zero Trust E2EE umožňuje Webex organizacím dosáhnout dvojího cíle: pořádání vysoce zabezpečených schůzek s nulovou důvěrou v cloudu Webex a zároveň zachování plné kontroly nad zpracováním a ukládáním kritického obsahu schůzek v místních podmínkách. Tato synergie poskytuje flexibilitu a zabezpečení nezbytné pro moderní podniková prostředí zaměřená na dodržování předpisů.
Bezpečnostní rámec Webexu: Tři úrovně ochrany
Webex nabízí tři úrovně zabezpečených schůzek, které jsou navrženy tak, aby splňovaly přísné požadavky na dodržování předpisů, suverenitu a ochranu dat.
- Standardní schůzky— Poskytuje robustní šifrování pro data při přenosu i v klidovém stavu. Přestože tyto schůzky splňují bezpečnostní standardy podnikové úrovně, nevyužívají architekturu Zero Trust, protože cloudová infrastruktura si zachovává schopnost spravovat šifrovací klíče.
- Standardní schůzky s adaptivním zabezpečením– Vylepšuje standardní model aplikací dynamických bezpečnostních zásad. Tato úroveň upřednostňuje použití end-to-end šifrování (E2EE), kdykoli to prostředí účastníka a možnosti koncových bodů dovolí, a vyvažuje tak flexibilitu se zvýšeným zabezpečením.
- Schůzky s nulovou důvěrou a šifrováním typu End-to-End (E2EE)– Představuje nejvyšší úroveň zabezpečení. Tím, že tento model zajišťuje, že šifrovací klíče generují a spravují výhradně účastníci schůzky, činí cloudovou infrastrukturu „slepou“ vůči mediálnímu streamu a obsahu schůzky. Tato architektura vynucuje striktní integritu Zero Trust a zabraňuje dešifrování na straně cloudu po celou dobu trvání relace.
Hybridní infrastruktura a integrace zabezpečení
Organizace mohou tyto úrovně zabezpečení dále rozšířit nasazením místních služeb Webex, jako je například Webex Video Mesh Node. Tato integrace rozšiřuje bezpečnostní perimetr a umožňuje konzistentní přístup Zero Trust v rámci cloudu Webex a zároveň poskytuje několik provozních výhod:
- Optimalizované směrování médií— Snižuje latenci tím, že udržuje mediální provoz lokální, a zajišťuje tak vysoce kvalitní výkon pro koncové body v místní síti.
- Lokalizované poskytování služeb— Umožňuje hostování specifických služeb pro schůzky, jako je například nahrávání v místní síti, a zároveň přísně dodržuje požadavky na bezpečnost a suverenitu.
- Vylepšený bezpečnostní perimetr— Umožňuje bezpečný přístup k interní infrastruktuře s nízkou latencí a zajišťuje zachování integrity Zero Trust i při integraci hybridních komponent.

Standardní Webex Meetings poskytuje robustní, profesionální službu videokonferencí, která je schopna podporovat schůzky až s 1000 účastníky. Mezi klíčové funkce patří skupinové konzultace, sdílení obsahu, integrovaný zvuk a video, asistent s umělou inteligencí, překlad v reálném čase, nahrávání schůzek, chat, sdílení souborů, bílé tabule a podnikové integrace. Platforma šifruje signalizační a mediální streamy pomocí hop-by-hop šifrování SRTP, což umožňuje cloudu Webex dešifrovat média a umožnit tak pokročilé služby, jako je nahrávání, přepis a funkce umělé inteligence.
Obsah schůzek, jako jsou nahrávky, přepisy, tabule, chat a soubory, je bezpečně uložen v cloudu Webex, šifrován pomocí AES-256-GCM a chráněn systémem správy klíčů, který podporuje hybridní zabezpečení dat a možnosti „přineste si vlastní klíč“. Ověřování identity je podporováno standardními metodami, včetně jednotného přihlašování (SSO) a integrace s externími poskytovateli identit. Přístupnost zahrnuje širokou škálu koncových bodů, včetně zařízení SIP a uživatelů PSTN, takže je řešení vhodné pro uživatele, kteří vyžadují komplexní funkce s integrací cloudových služeb a širokou kompatibilitou zařízení. Administrátoři mají kontrolu nad uchováváním obsahu schůzek, řízením přístupu a funkcemi schůzek prostřednictvím Webex Control Hub, což zajišťuje centralizovanou správu, diagnostiku a bezpečnostní dohled.

Standardní Webex Meetings s adaptivním zabezpečením zahrnuje všechny funkce standardních Webex Meetings, vylepšené o možnosti end-to-end šifrování Zero Trust. V tomto modelu koncové body Webexu, které podporují šifrování typu end-to-end, používají protokol Messaging Layer Security (MLS) ( RFC 9420) pro vyjednávání klíčů a SFrame ( RFC 9605) pro přenos médií. Tento přístup poskytuje dvě klíčové výhody:
- Zero Trust End-to-End Encryption— Pokud všichni účastníci a služby podporují MLS a SFrame, šifrovací klíče schůzky jsou generovány a sdíleny výhradně mezi účastníky, což brání cloudu Webex nebo jakémukoli zprostředkovateli v dešifrování mediálních streamů.
Pokud se připojí koncový bod nebo služba, která nepodporuje MLS a SFrame, Webex dynamicky zavede službu pro spolupráci SFrame-to-SRTP pro převod mezi těmito dvěma mediálními formáty. V tomto okamžiku se bezpečnostní nastavení schůzky změní z nulové důvěry na bezpečné, protože Webex získá přístup k šifrovacím klíčům, což umožní účast koncových bodů pouze s protokolem SRTP a cloudových služeb Webexu, jako je nahrávání a AI Assistant. Koncové body Webexu mezitím nadále používají MLS a SFrame.
- Zero Trust End-to-End Identity– Všechny koncové body Webex používající MLS si během procesu vyjednávání klíče schůzky vyměňují certifikáty identity uživatelů. Tyto certifikáty mohou být vydány organizacemi účastníků, což umožňuje prezentaci a ověřování identit nezávisle na službách Webex. Tato forma Zero Trust Identity zajišťuje, že účastníci jsou tím, za koho se vydávají, a chrání je před deepfake útoky bez nutnosti spoléhat se na detekční služby.

Schůzky Webex Zero Trust šifrované typu end-to-end poskytují zvýšené zabezpečení kombinací šifrování end-to-end s ověřenou identitou účastníků. Tento bezpečnostní model využívá protokol Messaging Layer Security (MLS) pro vyjednávání klíčů a SFrame pro přenos médií, což zajišťuje, že šifrovací klíče pro schůzky jsou generovány a sdíleny výhradně mezi účastníky. V důsledku toho nemůže cloud Webex ani žádný zprostředkovatel dešifrovat mediální streamy, což nabízí bezpečnostní přístup s nulovou důvěrou.
Mezi klíčové vlastnosti patří:
- Zero Trust End-to-End Encryption— Všichni účastníci podporují MLS a SFrame, šifrovací klíče schůzky zůstávají přístupné pouze jim, což brání přístupu cloudu nebo poskytovatele služeb.
- Zero Trust End-to-End Identity— Účastníci si během vyjednávání klíčů vyměňují certifikáty identity uživatelů, které mohou být vydány jejich organizacemi. To umožňuje nezávislé ověřování identit bez spoléhání se na služby Webex, což chrání před zosobněním a deepfake útoky.
- Ověření zabezpečení— Všem účastníkům se zobrazí bezpečnostní kód schůzky odvozený z balíčků klíčů MLS všech účastníků. Shodující se kódy potvrzují, že schůzka nebyla zachycena ani narušena útočníkem typu „man-in-the-middle“.
- Podporované funkce a omezení— Schůzky s nulovou důvěrou podporují až 1000 účastníků, lokální nahrávání, chat během schůzky, přenos souborů, whiteboarding, anotace, vzdálené ovládání plochy a video/audio vodoznak. Funkce vyžadující cloudový přístup k dešifrovaným médiím, jako je síťové nahrávání, přepis, AI Assistant a hovory přes PSTN nebo SIP zařízení, však nejsou podporovány. (Nasazením hybridní architektury Webex lze většinu těchto omezení vyřešit – viz níže).
- Ověření identity— Pořadatelé mohou vidět stav ověření účastníků a rozlišovat mezi ověřenými identitami (prostřednictvím externích nebo certifikačních autorit Webex) a neověřenými uživateli, což umožňuje lepší správu zabezpečení schůzek.
Rozšíření bezpečnostních hranic pomocí uzlu Video Mesh

Přidání uzlu Video Mesh do organizace umožňuje zákazníkům poskytovat služby pro schůzky v místní síti a umožňuje jejich koncovým bodům v místní síti připojit se k jakékoli schůzce Webex. Z bezpečnostního hlediska integrace uzlu Video Mesh zachovává v cloudu Webex systém nulového důvěry a zároveň nabízí téměř paritu funkcí se standardními schůzkami Webex. Zákazníci také těží ze suverenity dat, protože služby, jako jsou záznamy ze schůzek Video Mesh Node, jsou zpracovávány a ukládány lokálně.
|
Funkce |
Schůzky Webex Pro (Standard) s uzlem Video Mesh (VMN) v místní síti |
Schůzky Webex End-to-End šifrované (Zero Trust) s místním uzlem Video Mesh (VMN) |
|---|---|---|
|
Typ šifrování |
Hop za hopem (TLS/SRTP) |
Komplexní (MLS) / S-rám) |
|
Kapacita účastníků |
Až 1 000 |
Až 1 000 |
|
Aplikace Webex pro počítače |
Podporováno |
Podporováno |
|
Mobilní aplikace Webex |
Podporováno |
Podporováno |
|
Webová aplikace Webex |
Podporováno |
Podporováno |
|
Webex Web SDK |
Podporováno |
Podporováno |
|
Videozařízení Cisco (registrovaná v cloudu) |
Podporováno |
Podporováno |
|
IP telefony Webex Calling (registrované v cloudu) |
Podporováno |
Podporováno Telefony řady Cisco 9800 Telefony řady Cisco 8875 |
|
Videozařízení Cisco (Registrováno v CUCM na místě (SIP)) |
Podporováno |
Podporováno (VMN) |
|
IP telefony Webex Calling (Registrováno v CUCM na místě (SIP)) |
Podporováno |
Podporováno (VMN) |
|
Síť PSTN |
Podporováno |
Nepodporováno – Není nulová důvěra |
|
Záznam schůzky |
Lokální – Podporováno (aplikace Webex) Webex Cloud – Podporováno V prostorách – Podporováno (VMN) |
Místní – Podporováno (aplikace Webex) V prostorách – Podporováno (VMN) |
|
Cisco AI Assistant Shrnutí, přepisy, úkoly |
Webex Cloud – Podporováno V prostorách – Podporováno (VMN) |
Webex Cloud – Podporováno V prostorách – Podporováno (VMN) |
|
Místnosti pro odpočinek |
Podporováno |
Podporováno |
|
Vestavěné aplikace (např. Slido) |
Podporováno |
Podporováno Ne nulová důvěra |
|
Místnost pro osobní schůzky |
Podporováno |
Podporováno |
|
Lobby & Kontroly přijímání |
Podporováno |
Podporováno |
|
Připojte se před hostitelem |
Podporováno |
Podporováno |
|
Dálkové ovládání plochy |
Podporováno |
Podporováno |
|
Chat, Soubory, Tabule, Anotace |
Podporováno |
Podporováno – netrvá |
|
Překódování při sdílení obrazovky s koncovými body podporujícími nižší rozlišení videa |
Podporováno |
Nepodporováno Sdílení obrazovky s nízkým rozlišením se použije pro všechny účastníky, pokud se ke schůzce připojí koncový bod s nízkou kapacitou. |
Použití end-to-end šifrování s nulovou důvěrou může prodloužit dobu připojení ke schůzce o několik sekund, ale poskytuje jasnou bezpečnostní záruku – přístup k šifrovacím klíčům schůzky mají pouze účastníci schůzky, takže její obsah nemůže dešifrovat poskytovatel služeb ani jiní zprostředkovatelé.
Shrnutí: Webex Meetings a hybridní modely nasazení
Jak je ukázáno ve výše uvedeném srovnání, nasazení uzlu Video Mesh Node (VMN) umožňuje službě Zero Trust Webex Meetings dosáhnout téměř stejné funkčnosti jako standardní schůzky Webex. I když schůzky s nulovou důvěrou nepodporují účastníky PSTN, webová aplikace Webex slouží jako široce dostupná alternativa pro end-to-end šifrovaný přístup. VMN navíc umožňuje kancelářským pracovníkům používajícím stolní telefony bezproblémově se připojovat k schůzkám s nulovou důvěrou.
Video Mesh Node také zajišťuje datovou suverenitu pro kritický obsah schůzek, včetně nahrávek a – v blízké budoucnosti – i přepisů, shrnutí a úkolů. Zpracováním a ukládáním těchto dat v místním prostředí poskytuje VMN zákazníkům úplnou kontrolu nad jejich informacemi a zároveň zachovává architekturu Zero Trust v rámci cloudu Webex.
Soukromé schůzky Webex
Pokud má vaše organizace v síti video mesh, může správce povolit soukromé schůzky kontaktováním zástupce účtu. Tato funkce zvyšuje zabezpečení vaší schůzky tím, že ukončuje média pouze ve vašich prostorách. Když naplánujete soukromou schůzku, média se vždy ukončí na uzlech Video Mesh uvnitř vaší podnikové sítě bez kaskády cloudu. Soukromé schůzky Webex sice nabízejí soukromí tím, že média uchovávají pouze ve vašich prostorách, ale zároveň zavádějí omezení tím, že omezují účastníky schůzky pouze na členy vaší organizace a blokují přístup ke cloudovým službám, jako je nahrávání a Cisco AI Assistant.
Další podrobnosti o soukromých schůzkách Webex a návrhářské pokyny pro Webex Edge Video Mesh naleznete v článku Preferovaná architektura pro Webex Edge Video Mesh.

Webex nabízí širokou škálu hybridních služeb, které organizacím umožňují využít stávající investice do místní infrastruktury a zároveň těžit z cloudových inovací, poskytovat konzistentní uživatelský zážitek, vylepšené zabezpečení a flexibilní možnosti nasazení pro Webex Meetings a celkovou spolupráci. Mezi klíčové hybridní služby dostupné pro Webex Meetings patří:
- Mediální uzly Video Mesh– Umožňují IP telefonům a koncovým bodům SIP registrovaným v Unified CM odesílat audio, video a obsah sdílené obrazovky do clusteru Webex Video Mesh během schůzek, čímž se zlepšuje směrování a kvalita médií.
- Nahrávání videa do sítě– Umožňuje organizacím nahrávat schůzky Webex pomocí místní infrastruktury. Díky tomu jsou veškerá nahraná data zpracovávána v uzlu Video Mesh a ukládána lokálně, což poskytuje větší kontrolu nad umístěním a zabezpečením dat.
- Místní služby umělé inteligence Webex— Souhrny, přepisy a úkoly se zpracovávají a ukládají lokálně, což poskytuje větší kontrolu nad umístěním a zabezpečením dat.
- Hybridní služba zabezpečení dat– Umožňuje organizacím ukládat a spravovat šifrovací klíče Webex ve svém datovém centru lokálně pro zvýšení zabezpečení.
- Služba volání— Integrace stávajícího systému Cisco Unified Communications Manager nebo jiného místního systému pro řízení hovorů s cloudem Webex, což uživatelům umožňuje bezproblémové připojení ke schůzkám.
- Kalendářová služba— Integrace s podporovanými kalendářovými prostředími umožňuje plánování schůzek odkudkoli bez pluginů.
- Adresářová služba— Synchronizace uživatelských adresářů mezi místním a cloudovým prostředím pro konzistentní správu identity uživatelů.
- Webex Edge Audio a Webex Edge Connect— Poskytují VoIP trasy v síti a vyhrazené IP linky s podporou QoS z prostor zákazníka do cloudu Webex, čímž zlepšují kvalitu zvuku a snižují náklady obejitím PSTN.
Šifrování a soukromí Webexu
Webex Meetings zajišťuje robustní zabezpečení šifrováním signalizačních i mediálních dat během přenosu i v klidovém stavu. Veškerá komunikace mezi aplikacemi, zařízeními a službami Webex používá pro šifrování signalizace protokol TLS 1.2 nebo novější se silnými šifrovacími sadami. Mediální streamy – včetně zvuku, videa, sdílení obrazovky a sdílení dokumentů – jsou šifrovány pomocí preferované šifry AES-256-GCM.
Kryptografie: Šifrování dat během přenosu
Veškerá komunikace mezi cloudově registrovanými aplikacemi Webex, zařízeními Webex a službami Webex probíhá přes šifrované kanály. Webex používá pro signalizaci protokol TLS verze 1.2 nebo novější s vysoce silnými šifrovacími sadami.
Po navázání relace přes TLS jsou všechny mediální streamy (zvuk, video, sdílení obrazovky a sdílení dokumentů) šifrovány.
Šifrovaná signalizace Webex
Služby Webex podporují TLS verze 1.2 a 1.3, přičemž TLS 1.3 je upřednostňován, pokud jej podporuje připojující se koncový bod. Pokud klient podporuje pouze TLS 1.2, server Webex vybere nejsilnější běžnou šifrovací sadu nabízenou klientem. Na rozdíl od TLS 1.2 nepoužívá TLS 1.3 výběr šifrovací sady dle preferencí serveru, protože se spoléhá na menší, upravenou sadu moderních šifer. Tento design zjednodušuje proces výběru a více se zaměřuje na vylepšení výkonu, jako je zkrácení celkové délky handshake, a zároveň zachovává silné zabezpečení. Šifrovací sady pro TLS 1.2 a 1.3 používané společností Webex jsou dobře definované a mají prioritu, aby byla zajištěna bezpečná komunikace.
Šifrovací sady TLS
Šifrovací sady TLS 1.3 (servery TLS 1.3 nepoužívají pro výběr sady preferenční pořadí)
|
Šifrovací sada |
Klíč negotiation/generation protokol |
|---|---|
|
TLS_AES_256_GCM_SHA384 |
ECDH SecP256r1MLKEM768 (rov. > 3072 bitů RSA) |
|
TLS_AES_128_GCM_SHA256 |
ECDH SecP256r1MLKEM768 (rov. > 3072 bitů RSA) |
|
TLS_CHACHA20_POLY1305_SHA256 |
ECDH SecP256r1MLKEM768 (rov. > 3072 bitů RSA) |
Šifrovací sady TLS 1.2 (sady v pořadí preferovaném serverem)
|
Šifrovací sada |
Klíč negotiation/generation protokol |
|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH secp256r1 (ekvivalent 3072 bitů RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH secp256r1 (ekvivalent 3072 bitů RSA)
|
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
ECDH secp256r1 (ekvivalent 3072 bitů RSA)
|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH secp256r1 (ekvivalent 3072 bitů RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH secp256r1 (ekvivalent 3072 bitů RSA)
|
Šifrovací šifry AES_256_CBC a AES_128_CBC jsou podporovány pro zachování kompatibility se staršími systémy, prohlížeči a vestavěnými zařízeními, která nepodporují moderní šifry AEAD (Authenticated Encryption with Associated Data), jako je AES-GCM, např. Internet Explorer 11 ve Windows 7 a Windows 8.1, Safari. 6/7/8 v raných verzích systémů iOS a MacOS používají šifry založené na CBC.
CHACHA20_POLY1305 je proudová šifra s nízkou závislostí na hardwaru, což z ní činí vynikající šifru pro použití na mobilních zařízeních nebo zařízeních s nízkoenergetickými procesory.
Postkvantová bezpečná kryptografie
Postkvantová kryptografie (PQC) je opatření pro zajištění budoucnosti, které funguje jako proaktivní štít proti útokům typu Harvest Now Decrypt Later (HNDL) na data přenášená dnes.
HNDL se spoléhá na skutečnost, že současné asymetrické šifrování (jako RSA a Diffie-Hellman) je zranitelné vůči budoucím kvantovým počítačům. Útočníci tuto návštěvnost „sklízejí“ nyní, protože vědí, že ji zatím neumí číst, ale sázejí na to, že za 10 let budou mít nástroje k jejímu odemčení.
PQC implementuje matematický „zámek“ na zranitelná data. PQC používá matematiku založenou na mřížce nebo hashování, která je odolná vůči klasickým i kvantovým algoritmům. I když útočník dnes získá data šifrovaná pomocí PQC, zůstanou pro něj navždy „černou skříňkou“, protože ani budoucí kvantový počítač nebude mít algoritmus, který by ji dokázal prolomit.
Většina útoků HNDL se zaměřuje na výměnu klíčů (proces, při kterém se dvě strany dohodnou na tajném klíči). Pokud útočník dnes zachytí výměnu klíčů pomocí starších metod, může později odvodit klíče relace a dešifrovat celou konverzaci.
Protokoly Webex TLS a MLS podporují mechanismy zapouzdření klíčů po kvantové struktuře (ML-KEM). Díky tomu je zajištěno, že úplně první „handshake“ mezi uživatelem a cloudem Webex je kvantově odolný. Pokud je výměna klíčů zabezpečená proti kvantovým útokům, zbytek šifrované relace zůstává v bezpečí před retrospektivním dešifrováním.
Webex TLS s podporou PQC
Cloud Webex podporuje ECDH-SecP256r1-MLKEM768 pro zapouzdření klíčů v rámci šifrovacích sad TLS 1.3. Tento hybridní mechanismus shody klíčů integruje klasickou výměnu klíčů (ECDH přes SecP256r1) s kvantově odolným zapouzdřením klíčů (ML-KEM-768). Tento hybridní přístup zajišťuje postkvantovou bezpečnost a zároveň zachovává zpětnou kompatibilitu a v případě, že klient TLS 1.3 nepodporuje ML-KEM, se vrací ke klasickému ECDH.
Využití TLS 1.3 s mechanismy zapouzdření klíčů po kvantové distribuci (PQ-KEM) závisí na operačním systému připojujícího se klienta. Mezi podporované systémy patří Windows 11, macOS 14.4 (Sonoma), Linus (OpenSSL 3.5+), iOS 26 a Android 17.
Webex MLS s podporou PQC
Protokol Messaging Layer Security (MLS) ( RFC 9420) je vysoce efektivní rámec standardizovaný organizací IETF určený pro bezpečné šifrování typu end-to-end ve skupinové komunikaci. Webex integruje ECDH-SecP256r1-MLKEM768 do MLS, aby poskytoval kvantově odolné klíčové dohody pro schůzky s nulovou důvěryhodností a šifrováním typu end-to-end.
Implementace PQC na vrstvě MLS poskytuje klíčovou výhodu „hloubkové obrany“ – chrání média a obsah ze schůzek před útoky typu Harvest Now, Decrypt Later (HNDL). I když připojované zařízení postrádá podporu PQC na úrovni operačního systému – což by mohlo vést k zranitelnosti transportní vrstvy TLS – základní obsah schůzky zůstává bezpečný a budoucí kvantové výpočetní zdroje jej nemohou dešifrovat.
Šifrovaná média Webex
Standardy šifrování médií pro Webex
Schůzky a hovory Webex využívají pro všechny mediální pakety robustní šifrování založené na AES. Konkrétní šifrovací sada závisí na typu koncového bodu, přičemž AES-256-GCM slouží jako preferovaný standard pro optimální zabezpečení.
|
Typ koncového bodu |
Podporované šifry |
|---|---|
|
Aplikace Webex a zařízení RoomOS |
AES-256-GCM |
|
Třetí strana SIP/H.323 zařízení |
AES-256-GCM AES-128-GCM AES-CM-128-HMAC-SHA1 |
Klíčové bezpečnostní aspekty
- Preferovaný standard— AES-256-GCM je doporučená šifra pro všechna nasazení, aby byla zajištěna nejvyšší úroveň integrity a důvěrnosti dat.
- Interoperabilita— Webex sice udržuje podporu pro starší šifry (například AES-CM-128-HMAC-SHA1), aby byla zajištěna interoperabilita se systémy SIP a H.323 třetích stran, ale organizace upřednostňující architekturu s nulovou důvěryhodností by měly všude, kde to kompatibilita zařízení umožňuje, vynucovat AES-256-GCM.
Protokoly pro přenos médií
Webex podporuje přenos médií přes UDP, TCP nebo TLS. Pro optimální výkon hlasu a videa společnost Cisco důrazně doporučuje UDP.
Úvahy o výkonu:
- Efektivita v reálném čase— UDP je preferovaný transport pro média v reálném čase, protože minimalizuje latenci a jitter tím, že se vyhýbá mechanismům opakovaného přenosu a ukládání do vyrovnávací paměti, které jsou vlastní protokolům orientovaným na spojení.
- Dopad TCP/TLS—Zatímco TCP a TLS poskytují spolehlivé a uspořádané doručování dat, toto chování je kontraproduktivní pro média v reálném čase. Výsledné opakované přenosy paketů a ukládání streamu do vyrovnávací paměti zavádějí latenci a jitter, což může výrazně snížit kvalitu zážitku pro účastníky.
Používání SRTP a SFrame pro média společností Webex
Pro zachování vysokých bezpečnostních standardů požadovaných pro prostředí WebexZero Trust je důležité rozlišovat mezi zabezpečením na úrovni transportu (SRTP) a šifrováním end-to-end na aplikační vrstvě (SFrame).
|
Funkce |
SRTP (zabezpečený RTP) |
SFrame (bezpečný rám) |
|---|---|---|
|
Primární cíl |
Bezpečná přeprava médií |
Šifrování typu end-to-end (E2EE) |
|
Vrstva |
Transportní vrstva |
Application/Payload Vrstva |
|
Viditelnost |
Šifruje RTP datové zatížení; hlavičky jsou často viditelné |
Zašifruje mediální rámec před přenosem |
|
Správa klíčů |
DTLS-SRTP |
Oddělený (protokol MLS) |
|
Mediální server / Interakce s mediální bránou (SFU) |
SFU decrypts/re-encrypts |
SFU je „slepý“ (nelze dešifrovat) |
Klíčové technické rozdíly – SRTP & SFrame
- SRTP (Secure Real-time Transport Protocol)
SRTP je průmyslový standard pro zabezpečení mediálních streamů během přenosu.
- Rozsah—Zajišťuje důvěrnost, ověřování zpráv a ochranu před přehráváním pro datovou část RTP.
- Provozní kontext— V mnoha architekturách mediální server/mediální brána (jednotka selektivního přeposílání (SFU)) ukončuje připojení SRTP, aby mohl provést zpracování médií (například mixování, skládání rozvržení nebo překódování). Protože SFU pro zpracování média dešifruje, je médium v bodě SFU technicky zranitelné.
- SFrame (bezpečný rám)
SFrame je standard IETF. RFC 9605 je navržen speciálně pro usnadnění skutečného šifrování typu end-to-end v prostředí vícestranných konferencí.
- Rozsah— Šifruje paketizované mediální rámce před jejich zapouzdřením do RTP paketů. Webex přidává další vrstvu šifrování pomocí SRTP.
- Architektura nulové důvěry— Protože média jsou šifrována na aplikační vrstvě, SFU funguje pouze jako „slepé“ relé. Směruje zašifrované pakety k ostatním účastníkům, aniž by měli přístup k dešifrovacím klíčům.
- Nezávislost—SFrame je nezávislý na transportu. Zůstává bezpečný, i když je podkladová přeprava (UDP/TCP/TLS) je ohrožena, protože bezpečnostní kontext je vázán na koncové body účastníků, nikoli na transportní spojení.
SFrame je klíčový mechanismus, který umožňuje E2EE. Zatímco SRTP zajišťuje šifrování dat během přenosu sítí, SFrame zajišťuje, že média zůstanou šifrována po celou dobu životního cyklu schůzky, včetně doby, kdy se nacházejí na infrastruktuře Cisco (SFU), čímž efektivně odstraňuje poskytovatele služeb z hranice důvěryhodnosti.
Šifrování dat v klidovém stavu: Webex Meetings
Data uchovávaná v rámci služby Webex Meetings jsou rozdělena do dvou odlišných kategorií, z nichž každá má svůj vlastní bezpečnostní profil:
- Obsah Webex Meetings
- Metadata Webex Meetings
Obsah schůzek Webex
Obsah schůzky se skládá z dat vytvořených účastníky nebo generovaných službami Webex jménem hostitele schůzky. Zahrnuje:
- Obsah související s médii— Nahrávky, přepisy, shrnutí a úkoly.
- Data o spolupráci— Zprávy chatu, shared/transferred soubory, tabule a anotace.
Zabezpečení obsahu Webex Meetings – komplexní šifrování Webex
Webex zabezpečuje obsah schůzek generovaný účastníky pomocí robustního frameworku end-to-end šifrování (E2EE). Ústředním bodem této architektury je služba Webex Key Management Service (KMS), která je zodpovědná za generování, distribuci a správu šifrovacích klíčů pro veškerý obsah generovaný uživateli.
Vrstvy zabezpečení obsahu schůzek
- Přenášená data– Aplikace Webex a videozařízení Cisco používají šifrování Webex end-to-end (E2EE) s AES-256-GCM k šifrování obsahu schůzek generovaného uživateli, jako jsou soubory záznamů, souhrnné soubory umělé inteligence, zprávy chatu atd. Toto je dále zapouzdřeno v protokolu TLS (Transport Layer Security), který poskytuje dvouvrstvou ochranu během přenosu.
- Neaktivní data— Po uložení v cloudu Webex je šifrovaný obsah dodatečně chráněn šifrováním disku AES-256-GCM.
- Profil ochrany– Tento přístup chrání obsah před zachycením TLS během přenosu a zajišťuje, že uložená data zůstanou nepřístupná neoprávněným osobám v cloudovém prostředí.
Komplexní šifrování Webex se spravovaným přístupem k obsahu pro základní služby
Na rozdíl od end-to-end šifrování s nulovou důvěrou, kde Webex nemá přístup k šifrovacím klíčům médií ani obsahu, umožňuje end-to-end šifrování Webex platformě využívat klíče generované službou Webex KMS k dešifrování dat pro základní služby. Tento spravovaný přístup umožňuje:
- Vyhledávání a indexování– Umožňuje uživatelům prohledávat historii obsahu.
- Dodržování předpisů a řízení— Umožňuje prevenci ztráty dat (DLP), elektronické vyhledávání informací a archivaci dat.
- Optimalizace médií— Podporuje překódování souborů pro kompatibilitu napříč zařízeními.
- Zabezpečení—Usnadňuje skenování malwaru pomocí balíčku Extended Security Pack.
Metadata Webex Meetings
Metadata schůzek se skládají z administrativních a technických informací generovaných systémem za účelem usnadnění, sledování a řízení schůzky, nikoli ze skutečného obsahu (zvuku, videa nebo sdílených souborů) samotné schůzky. Metadata lze rozdělit do několika kategorií:
- Informace o relaci— Název schůzky, ID schůzky, plánovaný čas zahájení a ukončení a skutečná délka trvání schůzky.
- Údaje o účastnících– Seznam pozvaných a skutečných účastníků, jejich IP adresy, typy zařízení (například Windows, iPhone, Cisco Room Kit) a jejich join/leave časová razítka.
- Metriky využití a kvality— Data používaná k řešení problémů, jako je ztráta paketů, jitter, latence a rozlišení video streamu.
Jak se používají metadata
- Analytika a reporting— Administrátoři používají metadata v aplikaci WebexControl Hub k zobrazení počtu schůzek, nejaktivnějších oddělení a celkové kvality zážitku.
- Řešení problémů— Centrum technické pomoci Cisco TAC (Technical Assistance Center) používá metadata k identifikaci a řešení problémů se schůzkami.
- Dodržování předpisů a elektronické zjišťování informací— Pracovníci pro dodržování předpisů mohou vyhledávat v metadatech, aby prokázali, že se schůzka konala, kdo se jí účastnil a zda byla nahrávána, a to i v případě, že nevidí šifrovaný obsah schůzky.
- Zabezpečení—Metadata pomáhají identifikovat pokusy o neoprávněný přístup nebo neobvyklé vzorce, které by mohly naznačovat bezpečnostní hrozbu.
Zabezpečení a soukromí metadat
- Šifrování— I když metadata nejsou „šifrována od začátku do konce“, jsou stále šifrována během přenosu (pomocí TLS) a v klidovém stavu v zabezpečených datových centrech společnosti Cisco.
- Řízení přístupu— Zásady ochrany osobních údajů společnosti Cisco přísně omezují, kdo má přístup k těmto metadatům, a tato metadata se používají k poskytování a vylepšování služby.
Další informace o obsahu a metadatech schůzek Webex naleznete v Prohlášení o nabídce Webex Meetings.
Typy relací Webex Meetings
Typy relací Webex Meetings jsou konfigurace nebo šablony, které definují funkce a možnosti dostupné pro schůzky naplánované na webu Webex. Tyto typy relací mohou být buď standardní, nebo upravené správci webu, aby povolily nebo zakázaly specifické funkce pro uživatele. Tato flexibilita umožňuje organizacím přizpůsobit si prostředí pro schůzky podle jejich bezpečnostních požadavků a potřeb uživatelů. Další informace naleznete v části Správa typů relací v Control Hub. 
Přiřazení typů relací schůzek uživatelům
Administrátoři Webex Control Hub mohou svým uživatelům přiřadit jeden nebo více typů schůzek, které mohou používat pro plánované schůzky. Ve výchozím nastavení jsou všem uživatelům přiřazeny typy schůzek Pro Meeting a Pro-End to End Encryption_VoIPonly.
Naplánovat schůzku – Vyberte typ schůzky
Uživatelé si mohou vybrat typ schůzky, který chtějí použít při plánování schůzky, z aplikace Webex, uživatelské stránky Webex a doplňku Webex Email pro Microsoft Outlook.
Naplánovat schůzku – Vyberte typ schůzky v aplikaci Webex
Naplánovat schůzku – Vyberte typ schůzky na uživatelské stránce Webexu.
Nastavení výchozího typu schůzky
Uživatelé si mohou nastavit výchozí typ schůzky z nabídky na jejich uživatelské stránce Webexu.
Výchozí typ schůzky se vztahuje jak na plánované schůzky, tak na soukromé zasedací místnosti.
Nastavení výchozího typu schůzky na stránce uživatele Webexu
Zabezpečení pro plánované schůzky Webex a osobní zasedací místnosti Webex
Plánované schůzky Webex a osobní zasedací místnosti Webex se výrazně liší svými bezpečnostními funkcemi a zamýšlenými případy použití.
Plánované schůzky jsou navrženy pro bezpečné, plánované relace a nabízejí komplexní sadu bezpečnostních kontrol, včetně ochrany heslem, registrace účastníků, prověřování v lobby, deaktivace možností připojení před hostitelem a jedinečných URL adres schůzky pro každou relaci. Tyto funkce pomáhají zajistit, aby se mohli připojit pouze autorizovaní účastníci a aby si hostitelé udrželi kontrolu nad prostředím schůzky.
Naproti tomu osobní zasedací místnosti poskytují trvalou URL adresu pro rychlé a neformální schůzky s důvěryhodnými účastníky. Zahrnují základní bezpečnostní prvky, jako je ovládání lobby, ruční nebo automatické zamykání a CAPTCHA, která zabraňuje automatizovaným útokům. Protože je však adresa URL osobní místnosti konstantní, může představovat vyšší bezpečnostní riziko, pokud je sdílena ve velkém měřítku.
Pro schůzky vyžadující přísné zabezpečení se doporučují plánované schůzky, zatímco soukromé zasedací místnosti jsou vhodnější pro důvěryhodné skupiny, které upřednostňují snadný přístup před přísnými bezpečnostními kontrolami.
Administrátoři Control Hubu mohou nakonfigurovat Webex Personal Room Meetings pouze pro interní schůzky.
Nastavení zabezpečení schůzek pro administrátory
Control Hub nabízí komplexní sadu bezpečnostních kontrol pro plánované schůzky Webex, což správcům umožňuje přizpůsobit přístup ke schůzkám a správu účastníků zásadám organizace. Mezi tyto kontroly patří:
- Nastavení vstupní haly schůzky – Konfigurace chování vstupní haly pro hosty a neověřené uživatele, včetně možností, které hostům umožní připojení přímo, čekání v vstupní hale nebo zablokování připojení.
- Skupiny kategorií lobby pro interní, externí a neověřené (hostující) uživatele.
- Štítky účastníků – Doménová jména interních účastníků and/or externí účastníci, označení Neověřené pro neověřené (hostující) účastníky.
- Funkce automatického přijímání schůzek – Umožňuje ověřeným, pozvaným uživatelům a místnostem připojit se ke schůzkám nebo je zahájit bez zásahu hostitele, zatímco nepozvaní uživatelé čekají v předsíni nebo jsou blokováni.
- Automatické uzamčení schůzky – Schůzky se automaticky uzamykají po uplynutí zadaného počtu minut (0, 5, 10, 15 nebo 20) od začátku, aby se zabránilo pozdnímu připojení.
- Chování při uzamčení schůzky – Definujte, co se stane, když je schůzka uzamčena – zda účastníci čekají v předsíni, nebo zda se k ní nemohou připojit.
- Vynucení hesel pro schůzky – Vyžadování hesel pro účastníky, kteří se připojují z telefonů nebo systémů pro videokonference, s číselnými hesly generovanými systémem, která budou přidávána k pozvánkám.
- Stanovte si konkrétní požadavky na délku a složitost hesla pro schůzky.
- Skrýt odkaz na schůzku před účastníky – Zabraňte účastníkům ve snadném kopírování a sdílení odkazů na schůzku během schůzky, abyste omezili neoprávněný přístup.
- Zakázat virtuální kamery – Uživatelé systému macOS mohou zakázat virtuální kamery třetích stran, aby se zvýšilo zabezpečení omezením přístupu k kamerám pouze na Webex.
- Vodoznak na schůzkách – Povolte vodoznak na zvuku a videu pro identifikaci zdroje nahrávek nebo snímků obrazovky, což pomáhá identifikovat úniky dat.
- Řízení přístupu pro externí a interní schůzky na základě domény – Určete, zda se uživatelé mohou připojit k externím schůzkám, a omezte externím uživatelům přístup k interním schůzkám.
- Šablony pro skupiny uživatelů – Nastavení funkcí schůzek můžete použít pro skupiny uživatelů nebo jednotlivé uživatele pomocí šablon.
Další informace najdete na stránce
Osvědčené postupy služby Webex pro zabezpečené schůzky: Control Hub
Aplikace Webex | O lobby v aplikaci Webex Meetings
Přizpůsobení štítků účastníků, které se zobrazují ve Webex Meetings
Ovládací prvky sdílení obsahu schůzek pro administrátory
Control Hub umožňuje správcům ovládat, jak lze během schůzky a po ní sdílet obsah, jako jsou nahrávky, shrnutí, úkoly atd., a jak dlouho je obsah schůzky uložen v cloudu Webex, než bude automaticky smazán.
Ovládací prvky obsahu
Zásady uchovávání obsahu schůzek
Pořadatel schůzky má plnou kontrolu nad jejím uspořádáním a měl by zajistit, aby se k ní mohli připojit pouze zamýšlení pozvaní účastníci. Hostitel by měl také dodržovat bezpečnostní zásady organizace pro plánování schůzek. Chcete-li se dozvědět, jak jako hostitel zabezpečit Webex Meetings, podívejte se na Nejlepší postupy Webexu pro zabezpečené schůzky: Hostitelé.
V závislosti na bezpečnostních zásadách mohou některé organizace svým uživatelům zcela zablokovat účast na externích schůzkách nebo povolit uživatelům účast na schůzkách pouze ze seznamu schválených externích webů. Organizace mohou navíc omezit svým uživatelům používání určitých funkcí během schůzek, jako je chat, přenos souborů, anotace, Q... & A a hlasování při připojení k externí schůzce. Omezení spolupráce od Webexu mohou tyto funkce poskytovat. Další podrobnosti naleznete v části Omezení spolupráce pro Webex Meetings v Control Hub.
Bezpečnostní kontroly pro hostitele schůzek Webex
Hostitelé schůzek Webex hrají klíčovou roli v udržování bezpečnosti a integrity virtuálních schůzek. Jsou vybaveni komplexní sadou kontrol určených ke správě přístupu účastníků, ověřování identit a ochraně obsahu schůzek:
- Ovládací prvky v předsíni schůzky – Pořadatelé mohou přijímat nebo odebírat účastníky čekající v předsíni, což uživatelům umožňuje seskupovat je na interní, externí nebo neověřené hosty. To umožňuje prověření účastníků před vstupem.
- Zamykání schůzky – Pořadatelé mohou schůzku ručně zamknout nebo odemknout, aby zabránili novým účastníkům v připojení po jejím zahájení. Schůzky lze také nastavit tak, aby se automaticky uzamkly po uplynutí určitého času (0, 5, 10, 15 nebo 20 minut).
- Ochrana heslem – Naplánované schůzky jsou ve výchozím nastavení chráněny heslem. Pořadatelé mohou vynutit hesla schůzek pro účastníky, kteří se připojují prostřednictvím telefonu nebo systémů videokonferencí.
- Funkce automatického přijímání – Hostitelé mohou povolit ověřeným, pozvaným uživatelům a místnostem připojení se ke schůzkám nebo jejich zahájení bez zásahu hostitele, zatímco nepozvaní uživatelé čekají v hale nebo jsou blokováni.
- Správa účastníků – Pořadatelé mohou kdykoli během schůzky vyloučit účastníky a odstranit tak nežádoucí účastníky.
- Připojit se před hostitelem – Pořadatelé mohou povolit nebo zakázat možnost, aby se účastníci mohli připojit ke schůzce před jeho příchodem. Z bezpečnostních důvodů se doporučuje tuto možnost zakázat.
- Ovládání ztlumení – Pořadatelé mohou ztlumit nebo zapnout zvuk účastníků a ovládat, zda se účastníci mohou ztlumit sami, aby se snížilo vyrušování.
- Vstupní a výstupní tóny – Pořadatelé mohou povolit zvuková oznámení, když se účastníci připojí ke schůzce nebo ji opustí, aby mohli sledovat jejich účast.
- Vodoznak – Hostitelé mohou povolit vodoznak ve zvuku a videu, aby identifikovali zdroj nahrávek nebo snímků obrazovky, a tím zabránili úniku dat.
- Ověření identity – Pořadatelé mohou účastníky požádat o zapnutí videa nebo uvedení svého jména, aby potvrdili identitu a ověřili účastníky.
- Řízení ukončení schůzky – Pořadatelé mohou schůzku ukončit pro všechny účastníky, aby zajistili její úplné uzavření.
Více informací naleznete v Nejlepší postupy pro zabezpečené schůzky: hostitelé.
Možnosti zabezpečení pro hostitele při plánování schůzky
Možnosti zabezpečení pro hostitele při plánování schůzky
Boj proti novým bezpečnostním hrozbám – Deepfake User Personations
Hrozby deepfake ve Webex Meetings představují významnou nově vznikající bezpečnostní výzvu. Deepfakes využívají umělou inteligenci k vytváření vysoce realistického, ale falešného audio a video obsahu, který se může vydávat za legitimní účastníky schůzky. V kontextu Webex Meetings by to mohlo umožnit útočníkům vydávat se za důvěryhodné osoby, manipulovat s obsahem schůzek nebo provádět útoky sociálního inženýrství, což by mohlo vést k neoprávněnému přístupu, únikům dat nebo podvodům.
Webex zahrnuje několik bezpečnostních kontrol, které pomáhají zmírnit rizika spojená s neoprávněným přístupem a vydáváním se za jinou osobu. Patří mezi ně ovládací prvky v hale schůzek pro prověřování účastníků před vstupem, funkce uzamčení schůzek, které zabraňují pozdnímu připojení, vynucená ochrana heslem, výzvy k ověření identity účastníků a vodoznaky zvuku a videa pro sledování zdroje nahrávek nebo snímků obrazovky. Spolu s detekcí Deepfake a prevencí Deepfake vytvářejí tato opatření vícevrstvou obranu, která zvyšuje zabezpečení schůzek před deepfake a dalšími sofistikovanými hrozbami, a pomáhá tak organizacím chránit citlivé informace a udržovat důvěru v jejich prostředí virtuální spolupráce.
Detekce deepfake
Společnost Cisco se spojila se společnostmi GetReel a Pindrop, aby do sady Webex Suite integrovala pokročilé technologie pro detekci deepfake a hlasovou autentizaci s využitím umělé inteligence. Tato integrace umožňuje detekci a blokování syntetického zvuku a videa v reálném čase během schůzek bez nutnosti dalšího hardwaru. Řešení využívá vícefaktorovou analýzu rizik, včetně hlasové biometrie, analýzy zařízení a chování a globálních informací o podvodech, k pasivnímu ověřování účastníků a identifikaci pokusů o deepfake s vysokou přesností. Tato průběžná analýza na pozadí pomáhá chránit schůzky před podvody využívajícími umělou inteligenci a zároveň zachovat bezproblémový uživatelský zážitek.
Prevence deepfake: Certifikáty totožnosti poskytnuté zákazníkem
Zero Trust End-to-End identita a prevence deepfake
Certifikáty identity koncového uživatele poskytnuté zákazníkem jsou základním kamenem prevence zosobnění v rámci schůzek Webex šifrovaných end-to-end (E2EE). Na rozdíl od tradičních mechanismů blokování deepfake, které se spoléhají na analýzu audio a video streamů, tento přístup poskytuje kryptografické ověření identity v okamžiku přístupu. Tento ověřený stav se zobrazuje přímo v seznamu účastníků schůze, což zajišťuje transparentnost pro všechny účastníky.
Společnost Webex rozšířila podporu certifikátů spravovaných zákazníky – dříve dostupných na zařízeních RoomOS – i na aplikaci Webex v rámci funkce „Prevence deepfake“. Organizace si mohou poskytovat a spravovat vlastní digitální certifikáty vydávané důvěryhodnými externími certifikačními autoritami (CA) pomocí standardních protokolů, jako je ACME. Tyto certifikáty, založené na standardech X.509 a párech klíčů ECDSA P-256, poskytují kryptografický důkaz identity účastníků během schůzek E2EE.
Ověřená identita od začátku do konce a protokol MLS
Protokol Messaging Layer Security (MLS) využívá standardní certifikáty X.509 k ověřování účastníků schůzky. Certifikát je digitálně podepsaný výpis od důvěryhodné certifikační autority, který ověřuje identitu držitele podpisového klíče. Účastníci získávají tyto certifikáty dvěma hlavními způsoby:
- Spravovaná zařízení (certifikáty poskytované zákazníkem)— U stolních počítačů a mobilních klientů spravovaných organizací lze na zařízení nainstalovat certifikát identity od důvěryhodné certifikační autority. Když se uživatel přihlásí pomocí jednotného přihlašování (SSO), aplikace Webex načte tento certifikát z úložiště důvěryhodných certifikátů operačního systému, aby mohla prezentovat ověřenou identitu uživatele. Tento proces je podporován i pro videozařízení Cisco registrovaná v cloudu Webex.
- Výchozí (certifikáty poskytované společností Webex)– Pokud není k dispozici žádný certifikát poskytnutý zákazníkem, klient nebo zařízení Webex automaticky použije certifikát vydaný certifikační autoritou Webex, který odráží identitu ověřenou společností Cisco.
Sdílení identity a záložní mechanismus
Během schůzky každý účastník sdílí se všemi ostatními účastníky svůj certifikát identity Webex a, pokud je k dispozici, i certifikát identity poskytnutý zákazníkem. Pro zajištění bezproblémového připojení se koncový bod Webex řídí přísnou hierarchií: Upřednostňuje certifikát poskytnutý zákazníkem pro ověření; pokud tento certifikát chybí nebo neprojde ověřením, systém se automaticky vrátí k certifikátu identity poskytnutému společností Webex.
Zobrazení stavu ověření identity uživatele
Když se účastníci připojí ke schůzce pomocí aplikace Webex nebo zařízení RoomOS s certifikáty poskytnutými zákazníkem, ostatní účastníci schůzky ověří jejich identitu u vydávající certifikační autority. Díky tomu jsou rozpoznáni pouze autorizovaní uživatelé, což útočníkům brání v vydávání se za legitimní účastníky, protože tyto certifikáty jsou jedinečně vázány na ověřené identity a společnost Cisco ani zprostředkovatelé je nemohou padělat.
Seznam účastníků schůzky šifrované E2E zobrazuje stav ověření identity každého uživatele:
- Zero-Trust E2E Verified (
domain.com ) – Pokud je použit certifikát identity poskytnutý zákazníkem, doména účastníka se zobrazí modře. To indikuje skutečnou identitu ověřenou E2E, kterou společnost Cisco nemůže změnit. Například v seznamu účastníků schůzky můžete vidět, že „Kevin“ má ověřenou e-mailovou adresu z example.com, která je zobrazena modře. - Webex-Ověřeno (
domain.com) – Certifikáty vydané certifikační autoritou Webex poskytují omezenější úroveň ochrany. I když je to lepší než žádná ochrana identity, tito účastníci nejsou označeni jako „ověření E2E s nulovou důvěrou“. Místo toho se jejich stav identity zobrazuje šedým textem, což znamená, že identita byla ověřena certifikační autoritou Webex. - Neověřený hostující uživatel (
Neověřené) – Ačkoli identita hostujících účastníků není ověřena (protože neexistuje žádný proces přihlašování), stále potřebují certifikát pro připojení ke skupině MLS pro hovor nebo schůzku. Tento certifikát je vydán certifikační autoritou Webex a jako uživatelské jméno používá „anonymous“.
Bezpečnostní kód schůzky odvozený z kryptografického stavu všech účastníků navíc pomáhá detekovat útoky typu „osoba uprostřed“ tím, že umožňuje účastníkům ověřit, zda všichni sdílejí stejný zabezpečený kontext schůzky. Kombinací kryptografického ověřování identity s end-to-end šifrováním nabízí tato funkce „Deepfake prevence“ robustní ochranu proti zosobnění a hrozbám ze syntetických médií a chrání integritu a důvěrnost schůzek v aplikaci Webex i zařízeních s RoomOS.
Správa zavádění certifikátů
Organizace mohou zjednodušit zavádění a správu těchto certifikátů identity koncových uživatelů poskytovaných zákazníky jejich instalací do zařízení spravovaných společností pomocí aplikací pro správu mobilních zařízení (MDM), správu mobilních aplikací (MAM) nebo správu podnikové mobility (EMM). Tyto platformy pro správu umožňují IT administrátorům centrálně zajišťovat, konfigurovat a spravovat certifikáty a související bezpečnostní zásady napříč širokou škálou zařízení, ať už vlastněných firmami nebo soukromými osobami. Například Microsoft Intune podporuje funkce MDM i MAM, které organizacím umožňují nasazovat a spravovat aplikaci Webex a její konfigurace zabezpečení, včetně certifikátů identity, na spravovaných zařízeních. Podobně Cisco Meraki Systems Manager poskytuje funkce MDM pro registraci zařízení, odesílání konfiguračních profilů a nasazování certifikátů, aby byl zajištěn stav důvěryhodného zařízení. Využití těchto řešení pro správu snižuje administrativní režijní náklady, zjednodušuje správu životního cyklu certifikátů a vylepšuje zabezpečení schůzek Webex E2EE pomocí funkcí „prevence Deepfake“.
Správa identit Webex
Webex využívá pro správu identit uživatelů architekturu nulové důvěry – „nikdy nedůvěřuj, vždy ověřuj“. Využitím standardních protokolů (SAML 2.0, OIDC, OAuth 2.0 a SCIM 2.0) zajišťuje Webex bezpečné, škálovatelné a automatizované řízení přístupu. Tato část popisuje technický rámec pro integraci poskytovatelů identit (IdP) a udržování bezpečného prostředí pro spolupráci.
Tři pilíře identity
Efektivní správa identit a přístupu (IAM) pro Webex se opírá o:
- Zřizování (CRUD) – Správa životních cyklů uživatelů (vytvoření, čtení, aktualizace, mazání) s cílem zajistit, aby „zdroj pravdy“ odpovídal platformě pro spolupráci.
- Ověřování (AuthN) – Ověřování identity uživatele pomocí zabezpečených přihlašovacích údajů nebo tokenů.
- Autorizace (AuthZ) – Definování podrobných oprávnění a úrovní přístupu k API po ověření.
Zřizování & Řízení životního cyklu
Webex podporuje několik metod synchronizace uživatelů a skupin:
- SCIM 2.0— Preferovaný cloudový standard. Automatizuje životní cyklus uživatele a zajišťuje, že odhlášení v IdP automaticky zruší přístup k Webexu.
- Directory Connector— Nástroj Cisco pro hybridní prostředí, který propojuje místní službu Active Directory (AD) s cloudem Webex.
- Zřizování založené na API– Používá rozhraní Webex „People API“ pro programové vytváření uživatelů a přiřazování licencí ve složitých prostředích.
- Starší LDAP— Podporováno pro místní adresáře (např. CUCM), i když méně optimalizováno pro moderní cloudový provoz.
Ověřování & Autorizační rámce
- Ověřování (AuthN):
- SAML 2.0— Podnikový standard pro jednotné přihlašování (SSO). Webex vystupuje jako poskytovatel služeb (SP) a ověřuje XML assessments od firemního IdP.
- OIDC (OpenID Connect)— Moderní, lehká vrstva identity postavená na OAuth 2.0 s využitím webových tokenů JSON (JWT). Podporuje „Discovery URL“ pro automatickou konfiguraci.
- Autorizace (AuthZ):
- OAuth 2.0—Spravuje přístup k API prostřednictvím krátkodobých přístupových tokenů (definujících rozsahy) a dlouhodobých obnovovacích tokenů. Vynucuje zabezpečení prostřednictvím PKCE (Proof Key for Code Exchange) pro veřejné klienty.
Integrace & Strategie pro více poskytovatelů identity
Webex nabízí specializované cesty pro bezproblémovou integraci:
- Průvodce zadáváním ID—Doporučená cesta pro prostředí Microsoft. Používá rozhraní Microsoft Graph API pro pokročilou synchronizaci atributů (avatary, hierarchie) a automatizuje... OIDC/SAML konfigurace.
- Duo Security– Přidává „Continuous Identity Security“ ověřováním stavu zařízení a povolením MFA odolného proti phishingu.
Podpora více IdP:Webex umožňuje organizacím federovat více nezávislých IdP v rámci jednoho Control Hubu.
- Případy užití – fúze, akvizice nebo decentralizovaná IT oddělení.
- Směrování – Požadavky na ověření jsou směrovány na základě domén nebo skupin uživatelů.
- Zvážení – Vyžaduje přísnou koordinaci pro udržení konzistentních bezpečnostních zásad napříč všemi federovanými zdroji.
Příklad nejběžnějších integrací identit IdP s Webexem:
|
Platforma IdP |
Protokol SSO |
Podpora SCIM |
|---|---|---|
|
Microsoft Entra ID |
SAML 2.0, OIDC |
Ano |
|
Okta |
SAML 2.0, OIDC |
Ano |
|
PingFederate |
SAML 2.0, OIDC |
Ano |
|
Google Apps |
SAML 2.0 |
Ne (podporováno JIT) |
|
ADFS |
SAML 2.0 |
Ne |
Osvědčené postupy a odolnost
- Obnovení SSO – V případě selhání konfigurace IdP vždy použijte vestavěný odkaz „Obnovení SSO“ v Control Hubu k obejití SSO pomocí jednorázového hesla (OTP).
- Správa certifikátů – Sledování vypršení platnosti certifikátu SAML. Průvodce SSO automatizuje výměnu metadat a snižuje tak manuální chyby.
- Řešení problémů – Pokud se vyskytnou problémy s ověřováním, použijte nástroj SAML Tracer ke kontrole XML asercí a ověření formátů NameID.
- Bezpečnostní stav – Pravidelně ukončujte podporu starších typů grantů a zajistěte implementaci PKCE pro všechny integrace veřejných klientů.
Závěr – Identita pro Webex Meetings
Robustní strategie identity je proces s nepřetržitým životním cyklem. Kombinací SCIM pro zřizování, OIDC/SAML pro ověřování a OAuth pro autorizaci mohou organizace zajistit bezpečný a bezproblémový zážitek pro uživatele a zároveň si zachovat přísnou administrativní kontrolu.
Bezpečnostní model Webexu
Společnost Cisco je i nadále pevně odhodlána udržet si vedoucí postavení v oblasti cloudové bezpečnosti. Organizace pro bezpečnost a důvěru společnosti Cisco spolupracuje s týmy v celé naší společnosti na budování zabezpečení, důvěry a transparentnosti v rámci, který podporuje návrh, vývoj a provoz klíčových infrastruktur tak, aby splňovaly nejvyšší úrovně zabezpečení ve všem, co děláme.
Tato organizace se také věnuje poskytování informací našim zákazníkům, které potřebují ke zmírnění a řízení kybernetických bezpečnostních rizik.
Bezpečnostní model Webexu (obrázek 8) je postaven na stejných bezpečnostních základech, které jsou hluboce zakořeněny v procesech společnosti Cisco.
Organizace Webex důsledně dodržuje základní prvky pro bezpečný vývoj, provoz a monitorování služeb Webex. Některé z těchto prvků probereme v tomto dokumentu.

Zabezpečení a důvěra společnosti Cisco
Životní cyklus bezpečného vývoje Cisco
Ve společnosti Cisco není bezpečnost druhořadou záležitostí. Jedná se o disciplinovaný přístup k budování a poskytování produktů a služeb světové úrovně od základů. Všechny týmy vývoje produktů Cisco® musí dodržovat zásady bezpečného vývojového cyklu Cisco. Jedná se o opakovatelný a měřitelný proces, jehož cílem je zvýšit odolnost a důvěryhodnost produktů Cisco. Kombinace nástrojů, procesů a školení zaváděných ve všech fázích životního cyklu vývoje pomáhá zajistit hloubkovou ochranu. Poskytuje také holistický přístup k odolnosti produktu. Tým vývoje produktů Webex s nadšením sleduje tento životní cyklus v každém aspektu vývoje produktu.
Přečtěte si více o životním cyklu bezpečného vývoje.
Základní bezpečnostní nástroje Cisco
Organizace Cisco pro bezpečnost a důvěru poskytuje proces a potřebné nástroje, které každému vývojáři umožňují zaujmout konzistentní postoj k bezpečnostnímu rozhodnutí.
Díky specializovaným týmům, které se zabývají vývojem a poskytováním takových nástrojů, je proces vývoje produktů zcela vyloučen.
Mezi příklady nástrojů patří:
- Základní požadavky na bezpečnost produktů (PSB), které musí produkty splňovat
- Nástroje pro tvorbu hrozeb používané během modelování hrozeb
- Pokyny pro kódování
- Ověřené nebo certifikované knihovny, které mohou vývojáři používat místo psaní vlastního bezpečnostního kódu
- Nástroje pro testování bezpečnostních zranitelností (pro statickou a dynamickou analýzu) používané po vývoji k testování bezpečnostních vad
- Sledování softwaru, které monitoruje knihovny Cisco a třetích stran a upozorňuje produktové týmy na zjištění zranitelnosti
Organizační struktura, která vštípí bezpečnost do procesů Cisco
Společnost Cisco má zřízena specializovaná oddělení, která se zabývají zaváděním a řízením bezpečnostních procesů v celé společnosti. Aby Cisco neustále drželo krok s bezpečnostními hrozbami a výzvami, spoléhá se na:
- Cloudový tým Cisco Information Security (InfoSec)
- Tým pro reakci na bezpečnostní incidenty produktů Cisco (PSIRT)
- Sdílená odpovědnost za bezpečnost
Cisco InfoSec Cloud
Tento tým, vedený hlavním bezpečnostním ředitelem pro cloud, je zodpovědný za poskytování bezpečného prostředí Webexu našim zákazníkům. Společnost InfoSec toho dosahuje definováním a vynucováním bezpečnostních procesů a nástrojů pro všechny funkce spojené s dodáváním řešení Webex našim zákazníkům.
Kromě toho Cisco InfoSec Cloud spolupracuje s dalšími týmy v rámci společnosti Cisco na reakci na jakékoli bezpečnostní hrozby pro službu Webex.
Společnost Cisco InfoSec je také zodpovědná za neustálé zlepšování bezpečnostních opatření společnosti Webex.
Tým pro reakci na bezpečnostní incidenty produktů Cisco (PSIRT)
Cisco PSIRT je specializovaný globální tým, který spravuje příchozí, vyšetřované a hlášené bezpečnostní problémy související s produkty a službami Cisco. PSIRT používá k publikování informací různá média v závislosti na závažnosti bezpečnostního problému. Typ hlášení se liší podle následujících podmínek:
- Existují softwarové záplaty nebo alternativní řešení zranitelnosti, nebo je plánováno následné zveřejnění oprav kódu k řešení vysoce závažných zranitelností.
- PSIRT zaznamenal aktivní zneužívání zranitelnosti, která by mohla vést k většímu riziku pro zákazníky společnosti Cisco. PSIRT může v tomto případě urychlit zveřejnění bezpečnostního oznámení popisujícího zranitelnost, aniž by byla k dispozici úplná dostupnost oprav.
- Veřejné povědomí o zranitelnosti ovlivňující produkty Cisco může vést k většímu riziku pro zákazníky společnosti Cisco. PSIRT může opět upozornit zákazníky, a to i bez plné dostupnosti oprav.
Ve všech případech PSIRT zveřejňuje minimální množství informací, které koncoví uživatelé budou potřebovat k posouzení dopadu zranitelnosti a k přijetí kroků potřebných k ochraně svého prostředí. PSIRT používá stupnici Common Vulnerability Scoring System (CVSS) k hodnocení závažnosti odhaleného problému. PSIRT neposkytuje podrobnosti o zranitelnosti, které by mohly někomu umožnit vytvořit zneužití.
Další informace o PSIRT naleznete v článku Tým pro reakci na bezpečnostní incidenty produktů Cisco.
Bezpečnostní odpovědnost
Přestože za bezpečnost odpovídá každý člen skupiny Webex, hlavní pravidla jsou následující:
- Ředitel bezpečnosti, cloud
- Viceprezident a generální ředitel, Cisco Cloud Collaboration Applications
- Viceprezident pro inženýrství, aplikace Cisco Cloud Collaboration
- Viceprezident pro produktový management, aplikace Cisco Cloud Collaboration
Interní a externí penetrační testy
Skupina Webex pravidelně provádí důkladné penetrační testování s využitím interních hodnotitelů. Kromě vlastních přísných interních postupů zapojuje společnost Cisco InfoSec také řadu nezávislých třetích stran, které provádějí přísné audity interních zásad, postupů a aplikací společnosti Cisco. Tyto audity jsou navrženy tak, aby ověřovaly kritické bezpečnostní požadavky pro komerční i vládní aplikace. Společnost Cisco také využívá externí dodavatele k provádění průběžných, hloubkových penetračních testů a hodnocení služeb s asistencí kódu. V rámci zakázky provádí třetí strana následující bezpečnostní hodnocení:
- Identifikace kritických zranitelností aplikací a služeb a navrhování řešení
- Doporučení obecných oblastí pro architektonické vylepšení
- Identifikace chyb v kódování a poskytování rad pro zlepšení kódovací praxe
Externí posuzovatelé spolupracují přímo s technickým týmem společnosti Webex, aby vysvětlili zjištění a potvrdili nápravná opatření. Informace o atestaci penetračním testem naleznete v balíčku Webex Meetings Letters of Attestation Trust Package.
Zabezpečení datových center Webex
Webex je řešení typu software-as-a-service (SaaS) poskytované prostřednictvím Webex Cloudu, vysoce zabezpečené platformy pro poskytování služeb s špičkovým výkonem, integrací, flexibilitou, škálovatelností a dostupností. Webex Cloud je komunikační infrastruktura vytvořená pro webovou komunikaci v reálném čase.
Relace schůzek Webex používají přepínací zařízení umístěná ve více datových centrech po celém světě. Většina cloudových služeb Webex se využívá pro datová centra Cisco. Datová centra Amazon Web Services (AWS) a Microsoft Azure kompatibilní s normami SOC2 a ISO se také používají k poskytování dalších služeb v instancích privátního cloudu. Tato datová centra jsou strategicky umístěna v blízkosti hlavních přístupových bodů k internetu a využívají vyhrazené optické kabely s vysokou šířkou pásma k směrování provozu po celém světě.
Společnost Cisco navíc provozuje síťová úložiště PoP (Point-of-Presence), která usnadňují páteřní připojení, peering na internetu, globální zálohování webů a technologie mezipaměti pro zvýšení výkonu a dostupnosti pro koncové uživatele.
Fyzické zabezpečení
Fyzické zabezpečení datového centra zahrnuje video dohled nad zařízeními a budovami a vynucenou dvoufaktorovou identifikaci pro vstup. V datových centrech Cisco je přístup řízen kombinací čteček průkazů a biometrických kontrol. Kromě toho, kontroly prostředí (například teplotní senzory a protipožární systémy) a infrastruktura pro zajištění kontinuity služeb (například záložní napájení) pomáhají zajistit, aby systémy běžely bez přerušení.
Servery datových center jsou segmentovány do „zón důvěryhodnosti“ na základě citlivosti infrastruktury. Například databáze jsou „uzavřeny v klecích“, síťová infrastruktura má vyhrazené místnosti a všechny stojany s vybavením jsou uzamčeny. Do datových center mohou vstupovat pouze bezpečnostní pracovníci společnosti Cisco a oprávnění návštěvníci v doprovodu pracovníků společnosti Cisco.
Produkční síť společnosti Cisco je vysoce důvěryhodná síť: K síti má přístup jen velmi málo lidí s vysokou úrovní důvěry.
Zabezpečení infrastruktury a platformy
Zabezpečení platformy zahrnuje zabezpečení sítě, systémů a celého datového centra Webex. Všechny systémy procházejí před nasazením do produkčního prostředí důkladnou bezpečnostní kontrolou a ověřením akceptace, stejně jako pravidelným průběžným posilováním, aktualizacemi zabezpečení a skenováním a hodnocením zranitelností.
Servery jsou zabezpečeny pomocí pokynů pro technickou implementaci zabezpečení (STIG) zveřejněných Národním institutem pro standardy a technologie (NIST). Firewally chrání perimetr sítě. Seznamy řízení přístupu (ACL) oddělují různé bezpečnostní zóny. Jsou zavedeny systémy detekce narušení (IDS) a aktivity jsou průběžně zaznamenávány a monitorovány. V celém Webexu se provádějí denní interní i externí bezpečnostní kontroly. Všechny systémy jsou v rámci pravidelné údržby zajištěny a opraveny. Kromě toho se průběžně provádí skenování a hodnocení zranitelností.
Kontinuita služeb a obnova po havárii jsou klíčovými součástmi plánování zabezpečení. Návrh datových center Cisco s globálními zálohami lokalit a vysokou dostupností umožňuje geografické failovery služeb Webex. Neexistuje jediný bod selhání.
Ochrana osobních údajů Webexu
Společnost Webex bere ochranu zákaznických dat vážně. Informace o zákaznících shromažďujeme, používáme a zpracováváme pouze v souladu s Prohlášením o ochraně osobních údajů společnosti Cisco a Zveřejněním nabídek Webex Meetings.
Služba je vytvořena s ohledem na soukromí a je navržena tak, aby ji bylo možné používat v souladu s globálními požadavky na ochranu soukromí, včetně obecného nařízení EU o ochraně osobních údajů (GDPR), kalifornského zákona o ochraně soukromí spotřebitelů (CCPA), kanadského zákona o ochraně osobních údajů a elektronických dokumentů (PIPEDA), zákona o ochraně osobních zdravotních informací (PHIPA), zákona o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) a zákona o rodinných vzdělávacích právech a ochraně soukromí (FERPA).
Administrativní údaje
Informace o zaměstnancích nebo zástupcích zákazníka či jiné třetí strany, které společnost Cisco shromažďuje a používá za účelem správy nebo řízení dodávek produktů nebo služeb společností Cisco nebo za účelem správy nebo řízení účtu zákazníka nebo třetí strany pro vlastní obchodní účely společnosti Cisco.
Administrativní údaje mohou zahrnovat jméno, adresu, telefonní číslo, e-mailovou adresu a informace o smluvních závazcích mezi společností Cisco a třetí stranou, ať už shromážděné při počáteční registraci nebo později v souvislosti se správou nebo administrací produktů nebo služeb společnosti Cisco.
Administrativní údaje mohou zahrnovat také název schůzky, čas a další atributy schůzek vedených na Webexu zaměstnanci nebo zástupci zákazníka. Mezi další příklady administrativních údajů může patřit název schůzky, čas schůzky a další atributy schůzek hostovaných na Webexu.
Zákaznická data
To zahrnuje veškerá data (včetně textu, zvuku, videa, obrazových souborů a nahrávek), která jsou společnosti Cisco poskytnuta zákazníkem v souvislosti s jeho používáním produktů nebo služeb Cisco, nebo která společnost Cisco vyvinula na základě konkrétní žádosti zákazníka na základě popisu práce nebo smlouvy.
Zákaznická data zahrnují také soubory protokolů, konfigurace nebo firmwaru a výpisy paměti.
Jsou to data odebraná z produktu nebo služby a poskytnutá společnosti Cisco, která nám pomáhají řešit problém v souvislosti s žádostí o podporu. Zákaznická data nezahrnují administrativní data, data podpory ani telemetrická data.
Podpůrná data
Informace, které společnost Cisco shromažďuje, když zákazník odešle požadavek na služby podpory nebo jiné řešení problémů, včetně informací o hardwaru nebo softwaru. Zahrnuje podrobnosti týkající se incidentu podpory, jako jsou ověřovací informace, informace o stavu produktu, systému a registru, data o instalacích softwaru a konfiguracích hardwaru a soubory pro sledování chyb. Data podpory nezahrnují protokoly, konfigurační soubory ani soubory firmwaru ani výpisy paměti odebrané z produktu a poskytnuté nám za účelem řešení problému v souvislosti s žádostí o podporu, což vše jsou příklady zákaznických dat.
Telemetrická data
Informace generované přístrojovými a protokolovacími systémy vytvořenými používáním a provozem produktu nebo služby.
Všechna data shromážděná v cloudu Webex jsou chráněna několika vrstvami robustních bezpečnostních technologií a procesů. Níže jsou uvedeny příklady kontrol umístěných v různých vrstvách operací Webexu za účelem ochrany zákaznických dat:
- Kontrola fyzického přístupu— Fyzický přístup je řízen pomocí biometrických údajů, odznaků a video dohledu. Přístup do datového centra vyžaduje schválení a je řízen prostřednictvím elektronického systému prodeje vstupenek.
- Řízení přístupu k síti— Perimetr sítě Webex je chráněn firewally. Veškerý síťový provoz vstupující do datového centra Webex nebo z něj vystupující je nepřetržitě monitorován pomocí systému detekce narušení (IDS). Síť Webex je také rozdělena do samostatných bezpečnostních zón. Provoz mezi zónami je řízen firewally a seznamy řízení přístupu (ACL).
- Monitorování a řízení infrastruktury— Každá součást infrastruktury, včetně síťových zařízení, aplikačních serverů a databází, je chráněna přísnými pokyny. Jsou také pravidelně kontrolovány, aby se identifikovaly a řešily případné bezpečnostní problémy.
- Kryptografické kontroly– Jak již bylo uvedeno, veškerá data do a z datového centra Webex do cloudově registrovaných aplikací Webex a zařízení Webex jsou šifrována, s výjimkou provozu PSTN a nešifrovaných dat. SIP/H323 videozařízení v rámci schůzky s podporou cloudu. Kromě toho jsou kritická data uložená ve Webexu, jako například hesla, šifrována.
Zaměstnanci společnosti Cisco nemají přístup k zákaznickým datům, pokud si o přístup zákazník nepožádá z důvodu podpory. Přístup k systémům je v tomto případě povolen manažerem pouze v souladu s principem „dělby povinností“. Je udělován pouze na základě nezbytné znalosti a pouze s úrovní přístupu potřebnou k provedení dané práce. Přístup zaměstnanců k těmto systémům je také pravidelně kontrolován z hlediska souladu s předpisy. Zaměstnanci s takovým přístupem jsou povinni absolvovat každoroční školení Mezinárodní organizace pro normalizaci (ISO) 27001 o povědomí o informační bezpečnosti.
Kromě těchto specializovaných kontrol prochází každý zaměstnanec společnosti Cisco prověrkou, podepisuje dohodu o mlčenlivosti (NDA) a absolvuje školení o kodexu obchodního chování (COBC).
Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)
Společnost Cisco může poskytovat informace týkající se funkčnosti, technologií a zabezpečení platformy Webex. Subjekt, na který se vztahuje zákon HIPAA, by se musel poradit se svým vlastním právním zástupcem, aby zjistil, zda jsou funkce Webexu v souladu s jeho obchodními procesy a připraveny pro GDPR.
Průmyslové standardy a certifikace
Kromě dodržování našich přísných interních standardů společnost Webex také průběžně provádí validace třetích stran, abychom prokázali svůj závazek k informační bezpečnosti. Webex je:
- Certifikace dle ISO 27001, 27017, 27018 a 27701
- Kontroly servisní organizace (SOC) 2 typu II auditovány
- Certifikace SOC 3
- Kodex chování v cloudu
- CSTAR
- Osvědčení katalogu kontrol shody s cloud computingem (C5)
- Certifikace FedRAMP (navštivte cisco.com/go/fedramp pro více informací, rozsah a dostupnost)
Služba Webex s certifikací FedRAMP je k dispozici pouze zákazníkům z americké vlády a vzdělávacího sektoru.
Úplnou sadu dokumentů týkajících se zabezpečení, ochrany osobních údajů a shody s předpisy, včetně podrobností o výše uvedených standardech a certifikacích, naleznete na portálu Cisco Trust Portal.