- בית
- /
- מאמר
מבוא
פגישות Webex מאפשרות לעובדים גלובליים ולצוותים וירטואליים לשתף פעולה בזמן אמת, ומגשרות על המרחק ליצירת חוויה חלקה "בתוך החדר". ארגונים, החל מחברות מסחריות ועד סוכנויות ממשלתיות, מסתמכים על Webex כדי לייעל תהליכים עסקיים ולהשיג תוצאות טובות יותר בתחומי המכירות, השיווק, ההדרכה, ניהול הפרויקטים ותפקודי התמיכה.
עבור ארגונים אלה, אבטחה אינה רק תכונה - זוהי דרישה בסיסית. בין אם מדובר בקביעת פגישות, אימות משתתפים או שיתוף מסמכים רגישים, יש להגן על שיתוף הפעולה בכל נקודת מגע.
סיסקו משדרגת את הסטנדרט הזה עם פגישות Webex מאובטחות במיוחד. על ידי הטמעת ארכיטקטורת Zero Trust ישירות בפלטפורמה, סיסקו מבטיחה שאבטחה תהיה חלק בלתי נפרד מכל אינטראקציה. גישה זו משלבת:
- הצפנת קצה לקצה ללא אמון (E2EE)- פרוטוקולי הצפנה מתקדמים מבטיחים שתוכן הפגישות יישאר פרטי ובלתי נגיש לגורמים מורשים, כולל סיסקו עצמה.
- זהות מקצה לקצה ללא אמון (E2EI)- תכונה זו ממנפת אישורים שסופקו על ידי הלקוח כדי לאמת את זהויות משתתפי הפגישה, ומספקת הגנה חזקה מפני גישה לא מורשית והתקפות דיפ-זיוף מתוחכמות.
סיסקו מציבה את האבטחה בראש סדר העדיפויות לאורך כל התכנון, הפיתוח, הפריסה והתחזוקה של הרשתות, הפלטפורמות והיישומים שלה. באפשרותך לשלב פגישות Webex בתהליכי העסק שלך בביטחון מוחלט, בידיעה שכלי שיתוף הפעולה שלך מתוכננים לעמוד אפילו בדרישות האבטחה והתאימות המחמירות ביותר.
מה תלמדו
מאמר זה מתאר את תכונות האבטחה של פלטפורמת הפגישות Webex Suite (WSMP). הוא דן בסוגי הפגישות, אפשרויות הפריסה, התכונות, הכלים, התהליכים וההנדסה המסייעים ללקוחות לשתף פעולה בביטחון ב-Webex.
פלטפורמת הפגישות של Webex Suite כוללת:
- Webex Meetings
- Webex Webinars
- Webex Edge Audio
- שמע מחובר לענן של Webex
- Webex Assistant
- סקר (על ידי Slido)
מוצרים אלה הם חלק מחבילת Webex המאוחדת, המשלבת פגישות, שיחות, העברת הודעות, לוחות ציור ועוד, ומספקת חוויית שיתוף פעולה חלקה. הפלטפורמה תומכת בקיבולת הנעה בין 2 ל-1000 משתתפים בפגישה, עד 5000 משתתפים בוובינרים ו-100,000 צופים בשידורים מקוונים, עם תכונות מתקדמות כגון סיוע המופעל על ידי בינה מלאכותית, תרגום בזמן אמת ובקרות אבטחה משופרות. חבילת Webex זמינה באמצעות מגוון מודלים של קנייה, כולל מנויים של הסכם ארגוני ומנויים של משתמש בעל שם, והיא מציעה תוספות ואינטגרציות נוספות כדי לענות על צרכים ארגוניים מגוונים.
תכונות עתידיות
חלק מהתכונות הנדונות במסמך זה מתוכננות להיות זמינות באופן כללי בהמשך שנת 2026. מאפיינים המסומנים בסמל
מתוכננים להימסר ברבעון השלישי של שנת 2026. מאפיינים המסומנים בסמל 
מתוכננים להימסר ברבעון הראשון של שנת 2027. אנא צור קשר עם מנהל החשבון שלך אם אתה זקוק לגישה מוקדמת לתכונות אלה.
שירותי ורכיבי ליבה של פגישות Webex
- פגישות Webex הן חלק מחבילת Webex, ומספקות audio/video שיחות ועידה עם יכולות שיתוף תוכן ושיחות ועידה באינטרנט.
- הפלטפורמה כוללת מספר רב של מיקרו-שירותים כגון שירות פגישות, שירות וובינרים, שירות זהויות, שירות הקלטות, שירות עוזר בינה מלאכותית, שירות אנליטיקה, שירות ניהול ושירות מדיה.
- Webex Meetings תומך באפליקציות ובמכשירים הרשומים בענן, ומאפשר למשתמשים להצטרף לפגישות מפלטפורמות מערכות הפעלה ומכשירים שונים. משתמשים יכולים גם להצטרף לפגישות דרך רשת ה-PSTN ועם נקודות קצה של SIP.
ארכיטקטורה ופריסה
- שירותי Webex Meetings מפוזרים באזורים שונים ומשוכפלים על פני מספר מרכזי נתונים עצמאיים כדי להבטיח יתירות וזמינות גבוהה.
- שירותי מדיה מופצים ברחבי העולם עם אשכולות שרתי מדיה בכל מרכז נתונים, המספקים יתירות מקומית וגיאוגרפית.
- שרתי מדיה מטפלים בשיתוף קול, וידאו ותוכן, כאשר מדיה מוצפנת בדרך כלל באמצעות AES-256-GCM.
- הארכיטקטורה תומכת באיתות מוצפן TLS/HTTPS וזרמי מדיה מוצפנים.
Webex תומך בהצטרפות לפגישות ממספר פלטפורמות ומכשירים, כולל:
- יישום שולחן עבודה של Webex ב-Windows, Mac ו-Linux.
- אפליקציית Webex לנייד באנדרואיד וב-iOS.
- יישום אינטרנט של Webex באמצעות Chrome, Edge, Safari, Firefox ודפדפנים אחרים.
- התקני חדר והתקני שולחן של סיסקו.
- נקודות קצה של אודיו ווידאו מבוססות תקני SIP של צד שלישי.
- התקני PSTN.
פריסות Webex מתפתחות: מתן עדיפות לריבונות וביטחון ללא אמון
ככל שארגונים נותנים עדיפות גוברת לריבונות נתונים ולתקני אבטחה מחמירים, Webex מפתחת את מודלי הפריסה שלה כדי לספק שליטה רבה יותר על תוכן הפגישות, תוך הבטחה שהאבטחה לעולם לא תבוא על חשבון פונקציונליות.
ריבונות לקוחות Webex
בתגובה לביקוש הגובר לשמירת נתונים, Webex הציגה יכולות ריבונות משופרות. החל מהקלטה, ועם תמיכה בשירותים נוספים שיבואו, ארגונים יכולים כעת לשמור על שליטה על תוכן הפגישות שלהם בעזרת:
- עיבוד מקומי- עיבוד תוכן פגישות, כגון הקלטות, בתוך התשתית שלהם.
- אחסון מקומי— שימוש בשירותי אחסון קבצים משלהם לאיסוף נכסי פגישות רגישים, תוך הבטחת שמירה על הנתונים בגבולות גיאוגרפיים או ארגוניים שצוינו.
פגישות Webex מאובטחות במיוחד
מבחינה היסטורית, תכונות "Ultra Secure", כגון הצפנת קצה-לקצה ללא אמון (E2EE), דרשו לעתים קרובות פשרה בפונקציונליות של פגישות, מכיוון ששירותי ערך מוסף מבוססי ענן דרשו גישה למפתחות הצפנה, ורק מספר מוגבל של סוגי נקודות קצה יכלו להצטרף לפגישות אלו. Webex ביטל את הפשרה הזו עם:
- אמון אפס עשיר בתכונות— Webex שינה את עולם פגישות אמון אפס מוצפנות מקצה לקצה (E2EE), והוסיף פונקציונליות שהופכת פגישות אמון אפס לעשירות בתכונות. תמיכה במספר רחב יותר של סוגי נקודות קצה מספקת חוויה חלקה מבלי לוותר על הכלים הדרושים לשיתוף פעולה מודרני.
- אפס אמון לפגישות סטנדרטיות— Webex שילבה יכולות אפס אמון E2EE ישירות בפגישות סטנדרטיות. זה מבטיח שגם שיתוף פעולה יומיומי יוכל ליהנות מרמות האבטחה הגבוהות ביותר, תוך מתן הגנה עקבית בכל המערכת האקולוגית של Webex.
גישה מאוחדת לשיתוף פעולה
על ידי שילוב ריבונות הלקוח עם יכולות E2EE מתקדמות אלו של אמון אפס, Webex מאפשר לארגונים להשיג מטרה כפולה: אירוח פגישות אבטחה ביותר, ללא אמון, בענן Webex, תוך שמירה על שליטה מלאה על עיבוד ואחסון של תוכן פגישות קריטי במקום. סינרגיה זו מספקת את הגמישות והאבטחה הדרושות לסביבות ארגוניות מודרניות המונעות על ידי תאימות.
מסגרת האבטחה של Webex: שלוש שכבות של הגנה
Webex מציעה שלוש שכבות של פגישות מאובטחות, שנועדו להתאים לדרישות מחמירות של תאימות, ריבונות והגנה על נתונים.
- פגישות סטנדרטיות- מספק הצפנה חזקה לנתונים במעבר ובמנוחה. בעוד שפגישות אלו עומדות בתקני אבטחה ברמה ארגונית, הן אינן משתמשות בארכיטקטורת Zero Trust, מכיוון שתשתית הענן שומרת על היכולת לנהל מפתחות הצפנה.
- פגישות סטנדרטיות עם אבטחה אדפטיבית- משפר את המודל הסטנדרטי על ידי יישום מדיניות אבטחה דינמית. שכבה זו נותנת עדיפות לשימוש בהצפנה מקצה לקצה (E2EE) בכל פעם שסביבת המשתתף ויכולות נקודת הקצה מאפשרות זאת, תוך איזון בין גמישות לאבטחה משופרת.
- פגישות מוצפנות מקצה לקצה (E2EE) ללא אמון- מייצגות את רמת האבטחה הגבוהה ביותר. על ידי הבטחה שמפתחות הצפנה נוצרים ומנוהלים באופן בלעדי על ידי משתתפי הפגישה, מודל זה הופך את תשתית הענן ל"עיוורת" לזרם המדיה ולתכני הפגישה. ארכיטקטורה זו אוכפת שלמות אמון אפס קפדנית, ומונעת פענוח בצד הענן לאורך כל הסשן.
תשתית היברידית ואינטגרציה של אבטחה
ארגונים יכולים להגביר עוד יותר את שכבות האבטחה הללו על ידי פריסת שירותי Webex מקומיים, כגון Webex Video Mesh Node. שילוב זה מרחיב את היקף האבטחה, ומאפשר יציבה עקבית של אפס אמון בענן Webex, תוך מתן מספר יתרונות תפעוליים:
- ניתוב מדיה אופטימלי- מפחית השהייה על ידי שמירה על תעבורת מדיה מקומית, ומבטיח ביצועים באיכות גבוהה עבור נקודות קצה מקומיות.
- אספקת שירותים מקומית- מאפשר אירוח של שירותי פגישות ספציפיים, כגון הקלטה מקומית, תוך שמירה על הקפדה על דרישות אבטחה וריבונות.
- היקף אבטחה משופר- מאפשר גישה מאובטחת ובעלת השהייה נמוכה עבור תשתית פנימית, ומבטיח שמירה על שלמות אמון אפס גם בעת שילוב רכיבים היברידיים.

פגישות Webex Standard מספקות שירות ועידות וידאו חזק ומקצועי המסוגל לתמוך בפגישות עם עד 1000 משתתפים. התכונות העיקריות כוללות מפגשי חלוקה לשעות העבודה, שיתוף תוכן, אודיו ווידאו משולבים, עוזר המופעל על ידי בינה מלאכותית, תרגום בזמן אמת, הקלטת פגישות, צ'אט, שיתוף קבצים, לוחות לבנים ואינטגרציות ארגוניות. הפלטפורמה מצפינה זרמי איתות ומדיה באמצעות הצפנת SRTP hop-by-hop, מה שמאפשר לענן Webex לפענח מדיה כדי לאפשר שירותים מתקדמים כגון הקלטה, תמלול ופונקציונליות בינה מלאכותית.
תוכן פגישות כגון הקלטות, תמלולים, לוחות לבנים, צ'אט וקבצים מאוחסנים בצורה מאובטחת בענן Webex, מוצפנים באמצעות AES-256-GCM, ומוגנים על ידי מערכת ניהול מפתחות התומכת באבטחת נתונים היברידית ובאפשרויות "הבא את המפתח שלך". אימות זהות נתמך באמצעות שיטות סטנדרטיות, כולל כניסה יחידה (SSO) ושילוב עם ספקי זהות חיצוניים. נגישות משתרעת על פני מגוון רחב של נקודות קצה, כולל מכשירי SIP ומשתמשי PSTN, מה שהופך את הפתרון למתאים למשתמשים הזקוקים לתכונות מקיפות עם שילוב שירותי ענן ותאימות רחבה למכשירים. למנהלי מערכת יש שליטה על שמירת תוכן פגישות, בקרות גישה ותכונות פגישות דרך Webex Control Hub, המספק ניהול מרכזי, אבחון ופיקוח על אבטחה.

פגישות Webex סטנדרטיות עם אבטחה אדפטיבית כוללות את כל התכונות של פגישות Webex סטנדרטיות, משופרות עם יכולות הצפנה מקצה לקצה של Zero Trust. במודל זה, נקודות קצה של Webex התומכות בהצפנה מקצה לקצה משתמשות בפרוטוקול Messaging Layer Security (MLS) ( RFC 9420) למשא ומתן על מפתחות וב-SFrame ( RFC 9605) לתעבורת מדיה. גישה זו מספקת שני יתרונות עיקריים:
- הצפנת קצה-לקצה ללא אמון- כאשר כל המשתתפים והשירותים תומכים ב-MLS וב-SFrame, מפתחות ההצפנה של הפגישה נוצרים ומשותפים באופן בלעדי בין המשתתפים, מה שמונע מענן Webex או מכל מתווך לפענח את זרמי המדיה.
אם נקודת קצה או שירות שאינם תומכים ב-MLS וב-SFrame מצטרפים, Webex מציג באופן דינמי שירות SFrame-to-SRTP כדי להמיר בין שני פורמטי המדיה. בשלב זה, תנוחת האבטחה של הפגישה משתנה מאפס אמון לאבטחה, כאשר Webex מקבל גישה למפתחות ההצפנה, מה שמאפשר לנקודות קצה של SRTP בלבד ולשירותי ענן של Webex כגון הקלטה ועוזר בינה מלאכותית להשתתף. בינתיים, נקודות הקצה של Webex ממשיכות להשתמש ב-MLS וב-SFrame.
- זהות מקצה לקצה ללא אמון- כל נקודות הקצה של Webex משתמשות בתעודות זהות משתמש של MLS exchange במהלך תהליך המשא ומתן על מפתחות הפגישה. ניתן להנפיק אישורים אלה על ידי ארגוני המשתתפים, מה שמאפשר להציג ולאמת זהויות באופן עצמאי משירותי Webex. צורה זו של זהות אמון-לאומית מבטיחה שהמשתתפים יהיו מי שהם טוענים להיות, ומגנה מפני התקפות דיפ-פייק מבלי להסתמך על שירותי זיהוי.

פגישות מוצפנות מקצה לקצה של Webex Zero Trust מספקות אבטחה משופרת על ידי שילוב של הצפנה מקצה לקצה עם זהות משתתף מאומתת. מודל אבטחה זה משתמש בפרוטוקול Messaging Layer Security (MLS) למשא ומתן על מפתחות וב-SFrame להעברת מדיה, מה שמבטיח שמפתחות הצפנה של פגישות נוצרים ומשותפים באופן בלעדי בין המשתתפים. כתוצאה מכך, ענן Webex או כל מתווך אחר אינם יכולים לפענח את זרמי המדיה, מה שמציע תנוחת אבטחה של אפס אמון.
התכונות העיקריות כוללות:
- הצפנת קצה לקצה ללא אמון— כל המשתתפים תומכים ב-MLS וב-SFrame, מפתחות ההצפנה של הפגישה נשארים נגישים רק להם, מה שמונע גישה לענן או לספקי שירות.
- זהות מקצה לקצה ללא אמון- משתתפים מחליפים תעודות זהות משתמש במהלך משא ומתן על מפתח, אותן ניתן להנפיק על ידי הארגונים שלהם. זה מאפשר אימות עצמאי של זהויות מבלי להסתמך על שירותי Webex, ומגן מפני התחזות והתקפות Deepfake.
- אימות אבטחה- קוד אבטחה לפגישה הנגזר מחבילות מפתחות ה-MLS של כל המשתתפים מוצג לכל המשתתפים. קודים תואמים מאשרים שהפגישה לא יורטה או טופלה על ידי תוקף מסוג "אדם באמצע".
- תכונות ומגבלות נתמכות— פגישות אפס אמון תומכות בעד 1000 משתתפים, הקלטה מקומית, צ'אט בתוך פגישה, העברת קבצים, לוח לבן, הערות, שליטה מרחוק בשולחן עבודה ו video/audio סימון מים. עם זאת, תכונות הדורשות גישה לענן למדיה מפוענחת, כגון הקלטה מבוססת רשת, תמלול, AI Assistant ושיחות PSTN או SIP, אינן נתמכות. (על ידי פריסת ארכיטקטורת Webex היברידית, ניתן לטפל ברוב המגבלות הללו - ראה להלן).
- אימות זהות- מארחים יכולים לראות את סטטוס האימות של המשתתפים, תוך הבחנה בין זהויות מאומתות (דרך רשויות אישורים חיצוניות או של Webex) לבין משתמשים לא מאומתים, מה שמאפשר ניהול אבטחה טוב יותר של פגישות.
הרחבת גבולות האבטחה עם צומת רשת וידאו

הוספת צומת רשת וידאו לארגון מאפשרת ללקוחות לספק שירותי פגישות מקומיים, ומאפשרת לנקודות הקצה המקומיות שלהם להצטרף לכל פגישת Webex. מנקודת מבט של אבטחה, שילוב של צומת רשת וידאו שומר על אפס אמון בענן Webex תוך מתן שוויון תכונות כמעט דומה לפגישות Webex סטנדרטיות. לקוחות נהנים גם מריבונות נתונים, שכן שירותים כגון הקלטות פגישות של Video Mesh Node מעובדים ומאוחסנים במקום.
|
תכונה |
פגישות Webex Pro (סטנדרטיות) עם צומת רשת וידאו (VMN) מקומית |
פגישות Webex מוצפנות מקצה לקצה (אפס אמון) עם צומת רשת וידאו (VMN) מקומי |
|---|---|---|
|
סוג הצפנה |
קפיצה אחר קפיצה (TLS/SRTP) |
מקצה לקצה (MLS) / S-Frame) |
|
קיבולת משתתפים |
עד 1,000 |
עד 1,000 |
|
שולחן העבודה של אפליקציית Webex |
נתמך |
נתמך |
|
אפליקציית Webex לנייד |
נתמך |
נתמך |
|
Webex Web App |
נתמך |
נתמך |
|
ערכת פיתוח תוכנה של Webex Web |
נתמך |
נתמך |
|
התקני וידאו של סיסקו (רשומים בענן) |
נתמך |
נתמך |
|
שיחות Webex טלפוני IP (רשום בענן) |
נתמך |
נתמך טלפונים מסדרת סיסקו 9800 טלפונים מסדרת סיסקו 8875 |
|
התקני וידאו של סיסקו (רשום במקום (SIP) CUCM) |
נתמך |
נתמך (VMN) |
|
שיחות Webex לטלפוני IP (רשום במקום (SIP) CUCM) |
נתמך |
נתמך (VMN) |
|
PSTN |
נתמך |
לא נתמך - לא אפס אמון |
|
הקלטת פגישה |
מקומי – נתמך (אפליקציית Webex) Webex Cloud – נתמך נתמך במקום (VMN) |
מקומי - נתמך (אפליקציית Webex) נתמך במקום (VMN) |
|
עוזר הבינה המלאכותית של Cisco סיכומים, תמלולים, פעולות לפעולה |
Webex Cloud – נתמך נתמך במקום (VMN) |
Webex Cloud – נתמך נתמך במקום (VMN) |
|
חדרי מנוחה |
נתמך |
נתמך |
|
אפליקציות מוטמעות (למשל Slido) |
נתמך |
נתמך לא אפס אמון |
|
חדר פגישות אישי |
נתמך |
נתמך |
|
לוֹבִּי & בקרות קבלה |
נתמך |
נתמך |
|
הצטרף לפני המארח |
נתמך |
נתמך |
|
פקד שליטה מרחוק |
נתמך |
נתמך |
|
צ'אט, קבצים, לוחות לבנים, הערות |
נתמך |
נתמך - לא נשמר |
|
קידוד משני בעת שיתוף מסך עם נקודות קצה התומכות ברזולוציית וידאו נמוכה יותר |
נתמך |
לא נתמך שיתוף מסך ברזולוציה נמוכה משמש את כל המשתתפים אם נקודת קצה ברזולוציה נמוכה מצטרפת לפגישה |
שימוש בהצפנה מקצה לקצה של Zero Trust עשוי להוסיף כמה שניות נוספות להצטרפות לפגישה, אך הוא מספק הבטחת אבטחה ברורה - רק למשתתפי הפגישה יש גישה למפתחות ההצפנה של הפגישה, כך שתוכן הפגישה אינו ניתן לפענוח על ידי ספק השירות או מתווכים אחרים.
סיכום: פגישות Webex ומודלים של פריסה היברידיות
כפי שמוצג בהשוואה לעיל, פריסת צומת רשת וידאו (VMN) מאפשרת לפגישות Webex ללא אמון להשיג שוויון תכונות כמעט זהה לפגישות Webex סטנדרטיות. בעוד שפגישות אפס אמון אינן תומכות במשתתפי PSTN, אפליקציית Webex מבוססת האינטרנט משמשת כחלופה זמינה באופן נרחב לגישה מוצפנת מקצה לקצה. יתר על כן, VMN מאפשר לעובדים במשרד המשתמשים בטלפונים שולחניים להצטרף בצורה חלקה לפגישות Zero Trust.
צומת רשת הווידאו (Video Mesh Node) מבטיח גם ריבונות נתונים עבור תוכן קריטי של פגישות, כולל הקלטות ובעתיד הקרוב גם תמלולים, סיכומים ופעולות לפעולה. על ידי עיבוד ואחסון נתונים אלה באופן מקומי, VMN מספקת ללקוחות שליטה מלאה על המידע שלהם תוך שמירה על ארכיטקטורת אמון אפס בתוך ענן Webex.
פגישות פרטיות ב-Webex
אם לארגון שלך יש Video Mesh ברשת שלך, מנהל המערכת שלך יכול להפוך פגישות פרטיות לזמינות על-ידי פנייה לנציג החשבון שלך. תכונה זו משפרת את אבטחת הפגישה שלך על ידי סיום המדיה בשטחך בלבד. כאשר אתה קובע פגישה פרטית, המדיה תמיד מסתיימת בצמתים של רשת הסרטונים בתוך הרשת הארגונית שלך ללא מפל עננים. בעוד שפגישות Webex פרטיות מציעות פרטיות על ידי שמירת מדיה בשטחך בלבד, הן גם מציגות מגבלות על ידי הגבלת משתתפי הפגישה לחברי הארגון שלך בלבד, וחסימת גישה לשירותי ענן כגון הקלטה ועוזרת בינה מלאכותית של Cisco.
לפרטים נוספים על פגישות Webex פרטיות והנחיות עיצוב עבור Webex Edge Video Mesh, ראו ארכיטקטורה מועדפת עבור Webex Edge Video Mesh.

Webex מציעה מגוון רחב של שירותים היברידיים המאפשרים לארגונים למנף השקעות קיימות בתשתיות מקומיות תוך כדי ליהנות מחדשנות בענן, ומספקת חוויית משתמש עקבית, אבטחה משופרת ואפשרויות פריסה גמישות עבור פגישות Webex ושיתוף פעולה באופן כללי. השירותים ההיברידיים העיקריים הזמינים עבור פגישות Webex כוללים:
- צמתי מדיה של רשת וידאו- מאפשרים לטלפוני IP ונקודות קצה של SIP הרשומים ב-Unified CM לשלוח תוכן שמע, וידאו ושיתוף מסך לאשכול רשת וידאו של Webex במהלך פגישות, ובכך לשפר את ניתוב המדיה ואת איכותה.
- הקלטת וידאו ברשת- מאפשרת לארגונים להקליט פגישות Webex באמצעות תשתית מקומית. זה מבטיח שכל נתוני ההקלטה מעובדים בצומת רשת וידאו ומאוחסנים באופן מקומי, מה שמספק שליטה רבה יותר על מיקום הנתונים ואבטחתם.
- שירותי בינה מלאכותית מקומיים של Webex- סיכומים, תמלולים ופריטי פעולה מעובדים ומאוחסנים באופן מקומי, ומספקים שליטה רבה יותר על מיקום הנתונים ואבטחתם.
- שירות אבטחת נתונים היברידי- מאפשר לארגונים לאחסן ולנהל מפתחות הצפנה של Webex במרכז הנתונים המקומי שלהם לצורך אבטחה משופרת.
- שירות שיחות— שילוב של בקרת שיחות קיימה של Cisco Unified Communications Manager או בקרת שיחות מקומית אחרת עם ענן Webex, המאפשר למשתמשים להצטרף לפגישות בצורה חלקה.
- שירות לוח שנה— שילוב עם סביבות לוח שנה נתמכות כדי לאפשר תזמון פגישות מכל מקום ללא תוספים.
- שירות ספריות— סנכרון ספריות משתמשים בין סביבות מקומיות וענן לניהול עקבי של זהויות משתמשים.
- Webex Edge Audio ו-Webex Edge Connect- מספקים נתיבי VoIP ברשת וקישורי IP ייעודיים התומכים ב-QoS ממשרד הלקוח לענן Webex, משפרים את איכות השמע ומפחיתים עלויות על ידי עקיפת PSTN.
הצפנת Webex ופרטיות
פגישות Webex מבטיחות אבטחה חזקה על ידי הצפנת נתוני איתות ומדיה הן במעבר והן במנוחה. כל התקשורת בין אפליקציות, מכשירים ושירותים של Webex משתמשת ב-TLS 1.2 או גרסה מתקדמת יותר עם חבילות הצפנה חזקות לאיתות הצפנה. זרמי מדיה - כולל אודיו, וידאו, שיתוף מסך ושיתוף מסמכים - מוצפנים באמצעות AES-256-GCM כצופן מועדף.
קריפטוגרפיה: הצפנת נתונים במעבר
כל התקשורת בין אפליקציות Webex הרשומות בענן, מכשירי Webex ושירותי Webex מתרחשת דרך ערוצים מוצפנים. Webex משתמש בפרוטוקול TLS בגרסה 1.2 ואילך עם חבילות הצפנה חזקות לאיתות.
לאחר יצירת סשן דרך TLS, כל זרמי המדיה (אודיו, וידאו, שיתוף מסך ושיתוף מסמכים) מוצפנים.
איתות Webex מוצפן
שירותי Webex תומכים בגרסאות TLS 1.2 ו-1.3, כאשר TLS 1.3 מועדף כאשר הוא נתמך על ידי נקודת הקצה המחברת. אם לקוח תומך רק ב-TLS 1.2, שרת Webex בוחר את חבילת ההצפנה הנפוצה החזקה ביותר המוצעת על ידי הלקוח. בניגוד ל-TLS 1.2, TLS 1.3 אינו משתמש בבחירת חבילת צופן לפי העדפות שרת מכיוון שהוא מסתמך על קבוצה קטנה יותר ומאוצרת של צפנים מודרניים. עיצוב זה מפשט את תהליך הבחירה, ומתמקד יותר בשיפורי ביצועים כגון צמצום אורך לחיצת היד הכולל, תוך שמירה על אבטחה חזקה. חבילות ההצפנה עבור TLS 1.2 ו-1.3 בהן משתמש Webex מוגדרות היטב ומוגדרות בעדיפות גבוהה כדי להבטיח תקשורת מאובטחת.
סוויטות TLS Cipher
חבילות הצפנה של TLS 1.3 (שרתי TLS 1.3 אינם משתמשים בסדר העדפה לבחירת חבילות)
|
סוויטת צופן |
מַפְתֵחַ negotiation/generation פּרוֹטוֹקוֹל |
|---|---|
|
TLS_AES_256_GCM_SHA384 |
ECDH SecP256r1MLKEM768 (משוואה > 3072 סיביות RSA) |
|
TLS_AES_128_GCM_SHA256 |
ECDH SecP256r1MLKEM768 (משוואה > 3072 סיביות RSA) |
|
TLS_CHACHA20_POLY1305_SHA256 |
ECDH SecP256r1MLKEM768 (משוואה > 3072 סיביות RSA) |
חבילות הצפנה של TLS 1.2 (חבילות לפי סדר מועדף על ידי השרת)
|
סוויטת צופן |
מַפְתֵחַ negotiation/generation פּרוֹטוֹקוֹל |
|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH secp256r1 (משוואה 3072 סיביות RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH secp256r1 (משוואה 3072 סיביות RSA)
|
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
ECDH secp256r1 (משוואה 3072 סיביות RSA)
|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH secp256r1 (משוואה 3072 סיביות RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH secp256r1 (משוואה 3072 סיביות RSA)
|
AES_256_CBC ו-AES_128_צפני הצפנה של CBC נתמכים כדי לשמור על תאימות עם מערכות מדור קודם, דפדפנים ישנים יותר ומכשירים מוטמעים שאינם תומכים בצפני AEAD מודרניים (הצפנה מאומתת עם נתונים משויכים) כמו AES-GCM, לדוגמה Internet Explorer 11 ב-Windows 7 ו-Windows 8.1, Safari. 6/7/8 בגרסאות מוקדמות של iOS ו-MacOS משתמשים בצפנים מבוססי CBC.
ה-CHACHA20_POLY1305 הוא צופן זרם בעל תלות נמוכה בחומרה, מה שהופך אותו לצופן מעולה לשימוש במכשירים ניידים או במכשירים עם מעבדים בעלי צריכת אנרגיה נמוכה.
קריפטוגרפיה מאובטחת פוסט-קוונטית
קריפטוגרפיה פוסט-קוונטית (PQC) היא אמצעי הבטחת עתיד הפועל כמגן פרואקטיבי מפני התקפות Harvest Now Decrypt Later (HNDL) עבור נתונים המועברים כיום.
HNDL מסתמך על העובדה שהצפנה אסימטרית נוכחית (כמו RSA ודיפי-הלמן) פגיעה למחשבים קוונטיים עתידיים. תוקפים "קוצרים" את התעבורה הזו עכשיו, בידיעה שהם עדיין לא יכולים לקרוא אותה, אבל מהמרים שבתוך 10 שנים יהיו להם הכלים לפתוח אותה.
PQC מיישם "נעילה" מתמטית על נתונים פגיעים. PQC משתמש במתמטיקה מבוססת סריג או מבוססת גיבוב שעמידה הן לאלגוריתמים קלאסיים והן לאלגוריתמים קוונטיים. אפילו אם תוקף יאסוף כיום נתונים מוצפנים באמצעות PQC, הם נשארים "קופסה שחורה" עבורו לנצח, שכן אפילו למחשב קוונטי עתידי לא יהיה האלגוריתם לפצח אותם.
רוב התקפות ה-HNDL מכוונות להחלפת מפתחות (התהליך שבו שני צדדים מסכימים על מפתח סודי). אם תוקף לוכד את חילופי המפתחות היום באמצעות שיטות מדור קודם, הוא יכול להפיק את מפתחות ההפעלה מאוחר יותר ולפענח את השיחה כולה.
פרוטוקולי Webex TLS ו-MLS תומכים במנגנוני אנקפסולציה של מפתחות קוונטיים לאחר שלב (ML-KEM). זה מבטיח ש"לחיצת היד" הראשונה בין משתמש לענן Webex תהיה עמידה בפני תהליכים קוונטיים. אם חילופי המפתחות מאובטחים מפני התקפות קוונטיות, שאר הסשן המוצפן נשאר בטוח מפני פענוח רטרוספקטיבי.
Webex TLS עם תמיכה ב-PQC
ענן Webex תומך ב-ECDH-SecP256r1-MLKEM768 עבור אנקפסולציה של מפתחות בתוך חבילות צופן TLS 1.3. מנגנון הסכמת מפתחות היברידי זה משלב החלפת מפתחות קלאסית (ECDH over SecP256r1) עם אנקפסולציה של מפתחות עמידה קוונטית (ML-KEM-768). גישה היברידית זו מבטיחה אבטחה פוסט-קוונטית תוך שמירה על תאימות לאחור, וחוזרת ל-ECDH קלאסי אם לקוח TLS 1.3 אינו תומך ב-ML-KEM.
השימוש ב-TLS 1.3 עם מנגנוני אנקפסולציה של מפתחות קוונטיים לאחר תחילת העבודה (PQ-KEM) תלוי במערכת ההפעלה של הלקוח המחובר. המערכות הנתמכות כוללות את Windows 11, macOS 14.4 (Sonoma), Linus (OpenSSL 3.5+), iOS 26 ואנדרואיד 17.
Webex MLS עם תמיכה ב-PQC
פרוטוקול אבטחת שכבת המסרים (MLS) ( RFC 9420) הוא מסגרת יעילה ומתוקננת על ידי IETF, שנועדה להצפנה מאובטחת מקצה לקצה בתקשורת קבוצתית. Webex משלב את ECDH-SecP256r1-MLKEM768 ב-MLS כדי לספק הסכמי מפתח עמידים בפני קוונטים עבור פגישות מוצפנות מקצה לקצה עם אפס אמון.
יישום PQC בשכבת ה-MLS מספק יתרון קריטי של "הגנה לעומק" - הוא מגן על מדיה ותוכן של פגישות מפני התקפות Harvest Now, Decrypt Later (HNDL). אפילו אם למכשיר המחובר אין תמיכה ברמת מערכת ההפעלה עבור PQC - מה שמשאיר את שכבת התעבורה של TLS פגיעה באופן פוטנציאלי - תוכן הפגישה הבסיסי נשאר מאובטח ולא ניתן לפענח אותו על ידי משאבי מחשוב קוונטי עתידיים.
מדיה מוצפנת של Webex
תקני הצפנת מדיה עבור Webex
פגישות ושיחות של Webex משתמשות בהצפנה חזקה מבוססת AES עבור כל חבילות המדיה. חבילת הצפנים הספציפית תלויה בסוג נקודת הקצה, כאשר AES-256-GCM משמש כסטנדרט המועדף לאבטחה אופטימלית.
|
סוג נקודת סיום |
צפנים נתמכים |
|---|---|
|
אפליקציית Webex ומכשירי RoomOS |
AES-256-GCM |
|
צַד שְׁלִישִׁי SIP/H.323 מכשירים |
AES-256-GCM AES-128-GCM AES-CM-128-HMAC-SHA1 |
שיקולי אבטחה מרכזיים
- תקן מועדף— AES-256-GCM הוא הצופן המומלץ לכל הפריסות כדי להבטיח את הרמה הגבוהה ביותר של שלמות נתונים וסודיות.
- יכולת פעולה הדדית— בעוד ש-Webex תומך בצפנים מדור קודם (כגון AES-CM-128-HMAC-SHA1) כדי להבטיח יכולת פעולה הדדית עם מערכות SIP ו-H.323 של צד שלישי, ארגונים המעדיפים ארכיטקטורת אפס-אמון צריכים לאכוף את AES-256-GCM היכן שתאימות המכשיר מאפשרת זאת.
פרוטוקולי הובלת מדיה
Webex תומך בהובלת מדיה דרך UDP, TCP או TLS. לקבלת ביצועי קול ווידאו אופטימליים, סיסקו ממליצה בחום על UDP.
שיקולי ביצועים:
- יעילות בזמן אמת—UDP היא התעבורה המועדפת למדיה בזמן אמת מכיוון שהיא ממזערת השהייה וריצוד על ידי הימנעות ממנגנוני שידור חוזר ואחסון אחסון הטבועים בפרוטוקולים מוכווני חיבור.
- השפעת TCP/TLS—בעוד ש-TCP ו-TLS מספקים מסירת נתונים אמינה ומסודרת, התנהגות זו אינה יעילה עבור מדיה בזמן אמת. שידורי חבילות חוזרות ואחסון הזרם כתוצאה מכך יוצרים השהייה וריצוד, אשר יכולים לפגוע משמעותית באיכות החוויה עבור המשתתפים.
שימוש ב-SRTP וב-SFrame של Webex עבור מדיה
כדי לשמור על תקני האבטחה הגבוהים הנדרשים עבור סביבות WebexZero Trust, חשוב להבחין בין אבטחה ברמת התעבורה (SRTP) לבין הצפנה מקצה לקצה בשכבת האפליקציה (SFrame).
|
תכונה |
SRTP (RTP מאובטח) |
מסגרת מאובטחת (SFrame) |
|---|---|---|
|
מטרה עיקרית |
הובלת מדיה מאובטחת |
הצפנה מקצה לקצה (E2EE) |
|
שִׁכבָה |
שכבת התחבורה |
Application/Payload שִׁכבָה |
|
רְאוּת |
מצפין את מטען ה-RTP; כותרות לעיתים קרובות גלויות |
מצפין מסגרת מדיה לפני ההעברה |
|
ניהול מפתחות |
DTLS-SRTP |
מנותק (פרוטוקול MLS) |
|
שרת מדיה / אינטראקציה עם שער המדיה (SFU) |
אוניברסיטת סן פרנסיסקו decrypts/re-encrypts |
SFU הוא "עיוור" (לא ניתן לפענח) |
הבחנות טכניות מרכזיות - SRTP & SFrame
- SRTP (פרוטוקול תעבורה מאובטח בזמן אמת)
SRTP הוא התקן התעשייתי לאבטחת זרמי מדיה במעבר.
- היקף- מספק סודיות, אימות הודעות והגנה על הפעלה חוזרת עבור מטען ה-RTP.
- הקשר תפעולי— בארכיטקטורות רבות, שרת המדיה/שער המדיה (יחידת העברה סלקטיבית (SFU)) מסיים את חיבור ה-SRTP כדי לבצע עיבוד מדיה (לדוגמה, ערבוב, קומפוזיציה של פריסה או קידוד מחדש). מכיוון שה-SFU מפענח את המדיה כדי לעבד אותה, המדיה פגיעה מבחינה טכנית בנקודת ה-SFU.
- מסגרת מאובטחת (SFrame)
SFrame הוא תקן של IETF. RFC 9605 תוכנן במיוחד כדי לאפשר הצפנה אמיתית מקצה לקצה בסביבת ועידה מרובת משתתפים.
- היקף- מצפין מסגרות מדיה מקובצות לפני שהן מקופסלות לחבילות RTP. Webex מוסיף שכבת הצפנה נוספת באמצעות SRTP.
- ארכיטקטורת אמון אפס— מכיוון שהמדיה מוצפנת בשכבת האפליקציה, ה-SFU פועל רק כממסר "עיוור". הוא מנתב את החבילות המוצפנות למשתתפים אחרים מבלי שתהיה לו גישה למפתחות הפענוח.
- עצמאות—SFrame אינה תלויה בתחבורה. זה נשאר מאובטח גם אם ההובלה הבסיסית (UDP/TCP/TLS) נפגע, מכיוון שהקשר האבטחה קשור לנקודות הקצה של המשתתפים ולא לחיבור התעבורה.
SFrame הוא המנגנון הקריטי המאפשר E2EE. בעוד ש-SRTP מבטיח שהנתונים מוצפנים בזמן חציית הרשת, SFrame מבטיח שהמדיה תישאר מוצפנת לאורך כל מחזור החיים של הפגישה, כולל בזמן שהיא נמצאת בתשתית של סיסקו (SFU), ובכך למעשה מסיר את ספק השירות מגבול האמון.
הצפנת נתונים במנוחה: Webex Meetings
נתונים במנוחה בתוך Webex Meetings מסווגים לשתי קטגוריות נפרדות, לכל אחת פרופיל אבטחה משלה:
- תוכן פגישות Webex
- מטא-נתונים של פגישות Webex
תוכן פגישות Webex
תוכן הפגישה מורכב מנתונים שנוצרו על ידי משתתפים או שנוצרו על ידי שירותי Webex מטעם מארח הפגישה. זה כולל:
- תוכן הקשור למדיה- הקלטות, תמלולים, סיכומים ופעולות לביצוע.
- נתוני שיתוף פעולה— הודעות צ'אט, shared/transferred קבצים, לוחות לבנים והערות.
אבטחת תוכן של פגישות Webex - הצפנת Webex מקצה לקצה
Webex מאבטח תוכן פגישות שנוצר על ידי משתתפים באמצעות מסגרת הצפנה חזקה מקצה לקצה (E2EE). מרכזי בארכיטקטורה זו הוא שירות ניהול המפתחות של Webex (KMS), האחראי על יצירה, הפצה וניהול של מפתחות ההצפנה עבור כל התוכן שנוצר על ידי משתמשים.
שכבות אבטחת תוכן פגישות
- נתונים במעבר— אפליקציית Webex ומכשירי וידאו של Cisco משתמשים בהצפנת Webex מקצה לקצה (E2EE) עם AES-256-GCM כדי להצפין תוכן פגישות שנוצר על ידי משתמשים כגון קבצי הקלטה, קבצי סיכום של בינה מלאכותית, הודעות צ'אט וכו'. זה מקופל עוד יותר בתוך אבטחת שכבת התעבורה (TLS) כדי לספק הגנה דו-שכבתית במהלך השידור.
- נתונים במנוחה— לאחר אחסון בענן Webex, תוכן מוצפן מוגן בנוסף על ידי הצפנת דיסק AES-256-GCM.
- פרופיל הגנה- גישה זו מגנה על תוכן מפני יירוט TLS במהלך העברה ומבטיחה שנתונים המאוחסנים יישארו בלתי נגישים לגורמים מורשים בסביבת הענן.
הצפנת Webex מקצה לקצה עם גישה לתוכן מנוהל עבור שירותי ליבה
בניגוד להצפנה מקצה לקצה של Zero Trust, שבה ל-Webex אין גישה למפתחות הצפנת מדיה או תוכן, הצפנת Webex מקצה לקצה מאפשרת לפלטפורמה להשתמש במפתחות שנוצרו על ידי Webex KMS כדי לפענח נתונים עבור שירותי ליבה חיוניים. גישה מנוהלת זו מאפשרת:
- חיפוש ואינדוקס— מאפשר למשתמשים לחפש בהיסטוריית התוכן.
- תאימות וממשל- מאפשר מניעת אובדן נתונים (DLP), גילוי אלקטרוני ואחסון נתונים בארכיון.
- אופטימיזציית מדיה- תומך בטרנסקידוד קבצים לצורך תאימות בין מכשירים.
- אבטחה- מאפשר סריקת תוכנות זדוניות באמצעות חבילת האבטחה המורחבת.
מטא-נתונים של פגישות Webex
מטא-דאטה של פגישות מורכב מהמידע המנהלי והטכני שנוצר על ידי המערכת כדי להקל, לעקוב ולנהל פגישה, ולא מהתוכן בפועל (אודיו, וידאו או קבצים משותפים) של הפגישה עצמה. ניתן לחלק מטא-נתונים למספר קטגוריות:
- פרטי סשן— כותרת הפגישה, מזהה הפגישה, זמני התחלה וסיום מתוכננים ומשך הפגישה בפועל.
- נתוני משתתפים- רשימה של מוזמנים ומשתתפים בפועל, כתובות ה-IP שלהם, סוגי המכשירים (כגון Windows, iPhone, Cisco Room Kit) והנתונים שלהם join/leave חותמות זמן.
- מדדי שימוש ואיכות— נתונים המשמשים לפתרון בעיות, כגון אובדן חבילות, ריצוד, השהייה ורזולוציית זרם הווידאו.
כיצד משתמשים במטא-דאטה
- ניתוח ודיווח- מנהלים משתמשים במטא-נתונים ב-WebexControl Hub כדי לראות כמה פגישות מתקיימות, אילו מחלקות פעילות ביותר ואת האיכות הכוללת של החוויה.
- פתרון בעיות—Cisco TAC (מרכז סיוע טכני) משתמש במטא-נתונים כדי לזהות ולפתור בעיות בפגישות.
- תאימות וגילוי אלקטרוני- קציני תאימות יכולים לחפש במטא-דאטה כדי להוכיח שפגישה התקיימה, מי היה שם והאם היא הוקלטה, גם אם אינם יכולים לראות את התוכן המוצפן של הפגישה.
- אבטחה— מטא-נתונים מסייעים בזיהוי ניסיונות גישה לא מורשים או דפוסים חריגים שעשויים להצביע על איום אבטחה.
אבטחה ופרטיות של מטא-נתונים
- הצפנה— בעוד שמטא-דאטה אינו "מוצפן מקצה לקצה", הוא עדיין מוצפן במעבר (באמצעות TLS) ובמנוחה במרכזי הנתונים המאובטחים של סיסקו.
- בקרת גישה— מדיניות הפרטיות של סיסקו מגבילה בקפדנות את מי שיכול לגשת למטא-נתונים אלה, והם משמשים לספק ולשפר את השירות.
למידע נוסף על תוכן ומטא-דאטה של פגישות Webex, עיינו ב גילוי נאות של הצעות פגישות Webex.
סוגי מפגשי Webex
סוגי הפגישות של Webex Meetings הן תצורות או תבניות המגדירות את התכונות והאפשרויות הזמינות עבור פגישות המתוזמנות באתר Webex. סוגי הפעלה אלה יכולים להיות סטנדרטיים או מותאמים אישית על ידי מנהלי האתר כדי להפעיל או להשבית תכונות ספציפיות עבור משתמשים. גמישות זו מאפשרת לארגונים להתאים אישית את חוויות הפגישות בהתאם לדרישות האבטחה שלהם ולצורכי המשתמשים. למידע נוסף, ראה ניהול סוגי הפעלות במרכז הבקרה. 
הקצאת סוגי מפגשים למשתמשים
מנהלי Webex Control Hub יכולים להקצות סוג פגישה אחד או יותר שהמשתמשים שלהם יכולים להשתמש בהם עבור פגישות מתוזמנות. כברירת מחדל, לכל המשתמשים מוקצים סוגי הפגישות Pro Meeting ו- Pro-End to End Encryption_VoIPonly.
קבע פגישה - בחר את סוג הפגישה
משתמשים יכולים לבחור את סוג הפגישה הרצוי בעת תזמון פגישה מאפליקציית Webex, דף המשתמש של Webex ותוסף הדוא"ל של Webex עבור Microsoft Outlook.
קבע פגישה - בחר את סוג הפגישה ב-Webex אפליקציית
קבע פגישה - בחר את סוג הפגישה מדף המשתמש של Webex
הגדרת סוג פגישה כברירת מחדל
משתמשים יכולים להגדיר את סוג הפגישה המוגדר כברירת מחדל שלהם מתוך בדף המשתמש של Webex שלהם.
סוג הפגישה המוגדר כברירת מחדל חל הן על פגישות מתוזמנות והן על חדרי פגישות אישיים.
הגדר את סוג הפגישה המוגדר כברירת מחדל מדף המשתמש של Webex
אבטחה עבור פגישות Webex מתוזמנות וחדרי פגישות אישיים של Webex
פגישות Webex מתוזמנות וחדרי פגישות אישיים של Webex נבדלים באופן משמעותי בתכונות האבטחה ובמקרי השימוש המיועדים שלהם.
פגישות מתוזמנות מיועדות לפגישות מאובטחות ומתוכננות ומציעות מערך מקיף של בקרות אבטחה, כולל הגנה באמצעות סיסמה, רישום משתתפים, סינון בלובי, השבתת אפשרויות "הצטרף לפני אירוח" וכתובות URL ייחודיות לפגישות לכל מפגש. תכונות אלה עוזרות להבטיח שרק משתתפים מורשים יוכלו להצטרף ושהמארחים ישמרו על שליטה על סביבת הפגישה.
לעומת זאת, חדרי פגישות אישיים מספקים כתובת URL קבועה לפגישות מהירות ולא רשמיות עם משתתפים מהימנים. הם כוללים תכונות אבטחה בסיסיות כגון בקרות לובי, נעילה ידנית או אוטומטית ו-CAPTCHA למניעת התקפות אוטומטיות. עם זאת, מכיוון שכתובת ה-URL של החדר האישי קבועה, היא עלולה להוות סיכון אבטחה גבוה יותר אם היא משותפת באופן נרחב.
עבור פגישות הדורשות אבטחה מחמירה, מומלץ לקבוע פגישות מראש, בעוד שחדרי פגישות אישיים מתאימים יותר לקבוצות מהימנות המעדיפות גישה נוחה על פני בקרות אבטחה מחמירות.
מנהלי Control Hub יכולים להגדיר פגישות חדר אישי של Webex לשימוש בפגישות פנימיות בלבד.
הגדרות אבטחה לפגישות עבור מנהלי מערכת
מרכז הבקרה מציע סט מקיף של בקרות אבטחה עבור פגישות Webex מתוזמנות, המאפשרות למנהלי מערכת להתאים את הגישה לפגישות וניהול המשתתפים למדיניות הארגון. בקרות אלה כוללות:
- הגדרות לובי פגישות - קבע את התנהגות הלובי עבור אורחים ומשתמשים לא מאומתים, כולל אפשרויות לאפשר לאורחים להצטרף ישירות, להמתין בלובי או לחסום את ההצטרפות שלהם.
- קבוצות קטגוריות בלובי עבור משתמשים פנימיים, חיצוניים ומשתמשים לא מאומתים (אורחים).
- תוויות משתתפים - שמות דומיין של משתתפים פנימיים and/or משתתפים חיצוניים, תווית לא מאומתת עבור משתתפים לא מאומתים (אורחים).
- תכונת כניסה אוטומטית לפגישות - מאפשרת למשתמשים וחדרים מאומתים ומוזמנים להצטרף לפגישות או להתחיל אותן ללא התערבות המארח, בעוד שמשתמשים לא מוזמנים ממתינים בלובי או חסומים.
- נעילת פגישה אוטומטית - נעילת פגישות אוטומטית לאחר מספר דקות מוגדר (0, 5, 10, 15 או 20) משעת ההתחלה כדי למנוע הצטרפות מאוחרת.
- אופן פעולה של נעילת פגישה - הגדר מה קורה כאשר פגישה ננעלת - האם המשתתפים ממתינים בלובי או מנועים מלהיכנס.
- אכיפת סיסמאות לפגישות - דרוש סיסמאות עבור משתתפים המצטרפים מטלפונים או ממערכות שיחות וידאו, כאשר סיסמאות מספריות שנוצרו על ידי המערכת יתווספו להזמנות.
- קבע דרישות ספציפיות לאורך ומורכבות סיסמת פגישה.
- הסתר קישור לפגישה מהמשתתפים - מנע ממשתתפים להעתיק ולשתף בקלות קישורי פגישה במהלך הפגישה כדי להפחית גישה בלתי מורשית.
- השבת מצלמות וירטואליות - עבור משתמשי macOS, השבת מצלמות וירטואליות של צד שלישי כדי לשפר את האבטחה על ידי הגבלת גישת המצלמה ל-Webex בלבד.
- סימון מים בפגישות - הפעל סימון מים של אודיו ווידאו כדי לזהות את מקור ההקלטות או צילומי המסך, ובכך לסייע בזיהוי דליפות נתונים.
- בקרות גישה מבוססות דומיין עבור פגישות חיצוניות ופנימיות - שליטה באפשרויות הצטרפותם של משתמשים חיצוניים לפגישות פנימיות.
- תבניות עבור קבוצות משתמשים - החל הגדרות של תכונות פגישה על קבוצות משתמשים או משתמשים בודדים באמצעות תבניות.
לקבלת מידע נוסף, ראה:
שיטות מומלצות של Webex לפגישות מאובטחות: Control Hub
בקרות שיתוף תוכן פגישות עבור מנהלים
מרכז הבקרה מאפשר למנהלי מערכת לשלוט באופן שבו ניתן לשתף תוכן כגון הקלטות, סיכומים, פריטי פעולה וכו' במהלך ואחרי פגישה, ולשלוט למשך הזמן שבו תוכן הפגישה מאוחסן בענן Webex, לפני שהוא נמחק אוטומטית.
בקרות תוכן
מדיניות שמירת תוכן פגישות
למארח הפגישה יש שליטה מלאה על אופן ארגון הפגישה, ועליו לוודא שרק המוזמנים המיועדים יוכלו להצטרף. כמו כן, על המארח לפעול לפי מדיניות האבטחה של הארגון לצורך קביעת הפגישות. כדי ללמוד כיצד לשמור על אבטחת פגישות Webex כמארח, ראה שיטות עבודה מומלצות של Webex לפגישות מאובטחות: מארחים.
בהתאם למדיניות האבטחה, ארגונים מסוימים עשויים לחסום לחלוטין את המשתמשים שלהם מלהצטרף לפגישות חיצוניות או לאפשר למשתמשים שלהם להצטרף לפגישות רק מרשימת אתרים חיצוניים שאושרו. בנוסף, ארגונים עשויים להגביל את המשתמשים שלהם בשימוש בתכונות מסוימות במהלך פגישות כגון צ'אט, העברת קבצים, הערות, שאלות ותשובות & א' וסקר בעת הצטרפות לפגישה חיצונית. הגבלות שיתוף פעולה מ-Webex יכולות לספק פונקציות אלה. לפרטים נוספים, ראה הגבלות שיתוף פעולה עבור פגישות Webex במרכז הבקרה.
בקרות אבטחה עבור מארחי פגישות Webex
מארחי פגישות Webex ממלאים תפקיד קריטי בשמירה על האבטחה והשלמות של פגישות וירטואליות. הם מקבלים סט מקיף של בקרות שנועדו לנהל גישת משתתפים, לאמת זהויות ולהגן על תוכן הפגישות:
- בקרות בלובי פגישות - מארחים יכולים להכניס או להסיר משתתפים הממתינים בלובי, מה שמקבץ משתמשים כאורחים פנימיים, חיצוניים או לא מאומתים. זה מאפשר בדיקת נוכחות של המשתתפים לפני הכניסה.
- נעילת פגישה - המארחים יכולים לנעול או לבטל את הנעילה של הפגישה באופן ידני כדי למנוע הצטרפות של משתתפים חדשים לאחר תחילתה. ניתן גם להגדיר פגישות לנעילה אוטומטית לאחר זמן מוגדר (0, 5, 10, 15 או 20 דקות).
- הגנה באמצעות סיסמה - פגישות מתוזמנות מוגנות באמצעות סיסמה כברירת מחדל. מארחים יכולים לאכוף סיסמאות לפגישות עבור משתתפים המצטרפים באמצעות טלפון או מערכות שיחות וידאו.
- תכונת כניסה אוטומטית - מארחים יכולים לאפשר למשתמשים מאומתים ומוזמנים ולחדרים להצטרף או להתחיל פגישות ללא התערבות המארח, בעוד שמשתמשים לא הוזמנו ממתינים בלובי או חסומים.
- ניהול משתתפים - המארחים יכולים להרחיק משתתפים בכל עת במהלך הפגישה כדי להסיר משתתפים לא רצויים.
- בקרת הצטרפות לפני הגעת המארח - מארחים יכולים להפעיל או להשבית את האפשרות של משתתפים להצטרף לפגישה לפני הגעת המארח, ומומלץ להשבית זאת מטעמי אבטחה.
- בקרות השתקה - מארחים יכולים להשתיק או לבטל השתקה של משתתפים ולשלוט אם המשתתפים יכולים לבטל את השתקה שלהם כדי להפחית הפרעות.
- צלילי כניסה ויציאה - המארחים יכולים להפעיל התראות שמע כאשר משתתפים מצטרפים או עוזבים את הפגישה כדי לנטר את הנוכחות.
- סימון מים - מארחים יכולים לאפשר סימון מים של אודיו ווידאו כדי לזהות את מקור ההקלטות או צילומי המסך, ובכך לסייע במניעת דליפת נתונים.
- אימות זהות - המארחים יכולים לבקש מהמשתתפים להפעיל וידאו או לציין את שמם כדי לאשר את זהותם ולאמת את המשתתפים.
- בקרת סיום פגישה - המארחים יכולים לסיים את הפגישה עבור כל המשתתפים כדי להבטיח שההפעלה תיסגר לחלוטין.
למידע נוסף, ראו שיטות עבודה מומלצות לפגישות מאובטחות: מארחים.
אפשרויות אבטחה למארחים בעת תזמון פגישה
אפשרויות אבטחה למארחים בעת תזמון פגישה
מאבק באיומי אבטחה חדשים - התחזות משתמש עמוקה (Deepfake)
איומי Deepfake ב-Webex Meetings מייצגים אתגר אבטחה משמעותי ומתפתח. דיפפייקס משתמשים בבינה מלאכותית כדי ליצור תוכן אודיו ווידאו מציאותי ביותר אך מזויף, שיכול להתחזות למשתתפי פגישה לגיטימיים. בהקשר של פגישות Webex, הדבר עלול לאפשר לגורמים זדוניים להתחזות לאנשים מהימנים, לתמרן תוכן פגישות או לבצע התקפות הנדסה חברתית, מה שעלול להוביל לגישה בלתי מורשית, פרצות נתונים או הונאה.
Webex משלב בקרות אבטחה מרובות המסייעות להפחית סיכונים הקשורים לגישה בלתי מורשית והתחזות. אלה כוללים בקרות בלובי הפגישות לבדיקת משתתפים לפני הכניסה, תכונות נעילת פגישות למניעת הצטרפות מאוחרת, הגנה באמצעות סיסמה כפויה, הנחיות לאימות זהות משתתפים וסימן מים של אודיו ווידאו כדי לאתר את מקור ההקלטות או צילומי המסך. יחד עם זיהוי Deepfake ומניעת Deepfake, אמצעים אלה יוצרים הגנה רב שכבתית המשפרת את אבטחת הפגישות מפני Deepfake ואיומים מתוחכמים אחרים, ועוזרים לארגונים להגן על מידע רגיש ולשמור על אמון בסביבת שיתוף הפעולה הווירטואלית שלהם.
זיהוי דיפפייק
סיסקו חברה ל-GetReel ו-Pindrop כדי לשלב טכנולוגיות מתקדמות לזיהוי דיפ-זיוף ואימות קולי המונעות על ידי בינה מלאכותית בתוך חבילת Webex. שילוב זה מאפשר זיהוי וחסימה בזמן אמת של אודיו ווידאו סינתטיים במהלך פגישות ללא צורך בחומרה נוספת. הפתרון משתמש בניתוח סיכונים רב-גורמי, כולל ביומטריה קולית, ניתוח מכשירים והתנהגות, ומודיעין הונאות גלובלי, כדי לאמת משתתפים באופן פסיבי ולזהות ניסיונות דיפ-זיוף בדיוק גבוה. ניתוח רקע מתמשך זה מסייע בהגנה על פגישות מפני הונאות המונעות על ידי בינה מלאכותית, תוך שמירה על חוויית משתמש חלקה.
מניעת זיופים עמוקים: הלקוח סיפק תעודות זהות
אפס אמון זהות מקצה לקצה ומניעת זיופים עמוקים
אישורי זהות של משתמש קצה המסופקים על ידי הלקוח הם אבן יסוד במניעת התחזות בפגישות מוצפנות מקצה לקצה (E2EE) של Webex. בניגוד למנגנוני חסימת דיפ-זייק מסורתיים המסתמכים על ניתוח זרמי אודיו ווידאו, גישה זו מספקת אימות זהות קריפטוגרפי בנקודת הכניסה. סטטוס מאומת זה מוצג ישירות ברשימת הפגישות, ומספק שקיפות לכל המשתתפים.
Webex הרחיבה את תמיכתה בתעודות המנוהלות על ידי לקוחות - שהיו זמינות בעבר במכשירי RoomOS - לאפליקציית Webex כחלק מתכונת "מניעת Deepfakes" שלנו. ארגונים יכולים לספק ולנהל את התעודות הדיגיטליות שלהם, המונפקות על ידי רשויות אישורים (CA) חיצוניות מהימנות באמצעות פרוטוקולים סטנדרטיים בתעשייה כמו ACME. תעודות אלו, המבוססות על תקני X.509 וזוגות מפתחות ECDSA P-256, מספקות הוכחה קריפטוגרפית לזהות המשתתפים במהלך פגישות E2EE.
זהות מאומתת מקצה לקצה ופרוטוקול MLS
פרוטוקול אבטחת שכבת המסרים (MLS) משתמש בתעודות X.509 סטנדרטיות לאימות משתתפי פגישה. תעודה היא הצהרה חתומה דיגיטלית מרשות אישורים מהימנה המאמתת את זהותו של בעל מפתח החתימה. המשתתפים מקבלים תעודות אלו באמצעות שתי שיטות עיקריות:
- מכשירים מנוהלים (אישורים המסופקים על ידי הלקוח)— עבור לקוחות שולחניים וניידים המנוהלים על ידי הארגון, ניתן להתקין אישור זהות מרשות אישורים מהימנה במכשיר. כאשר משתמש מתחבר באמצעות כניסה יחידה (SSO), אפליקציית Webex מאחזרת אישור זה ממאגר האמון של מערכת ההפעלה כדי להציג את זהותו המאומתת של המשתמש. תהליך זה נתמך גם עבור התקני וידאו של Cisco הרשומים בענן של Webex.
- ברירת מחדל (אישורים המסופקים על ידי Webex)- אם אין אישור זמין שסופק על ידי הלקוח, לקוח או מכשיר Webex משתמשים באופן אוטומטי באישור שהונפק על ידי רשות האישורים של Webex, המשקף זהות שאומתה על ידי Cisco.
שיתוף זהויות ומנגנון גיבוי
במהלך פגישה, כל משתתף משתף את תעודת הזהות של Webex שלו, ואם זמינה, את תעודת הזהות שסיפק הלקוח שלו עם כל המשתתפים האחרים. כדי להבטיח קישוריות חלקה, נקודת הקצה של Webex פועלת לפי היררכיה קפדנית: היא נותנת עדיפות לתעודה שסיפק הלקוח לצורך אימות; אם תעודה זו חסרה או נכשלת באימות, המערכת חוזרת אוטומטית לתעודת הזהות שסיפקה Webex.
הצגת סטטוס אימות זהות המשתמש
כאשר משתתפים מצטרפים לפגישה באמצעות אפליקציית Webex או מכשירי RoomOS עם אישורים שסופקו על ידי הלקוח, זהותם מאומתת על ידי חברי פגישה אחרים מול רשות האישורים המנפיקה. זה מבטיח שרק משתמשים מורשים מזוהים, ומונע מתוקפים להתחזות למשתתפים לגיטימיים, מכיוון שתעודות אלו קשורות באופן ייחודי לזהויות מאומתות ואינן ניתנות לזיוף על ידי סיסקו או מתווכים.
רשימת המשתתפים בפגישה מוצפנת E2E מציגה את סטטוס אימות הזהות של כל משתמש:
- אימות E2E ללא אמון (
domain.com) - כאשר נעשה שימוש בתעודת זהות שסופקת על ידי הלקוח, הדומיין של המשתתף מוצג בטקסט כחול. זה מצביע על זהות אמיתית שאומתה על ידי E2E שסיסקו לא יכולה להתערב בה. לדוגמה, ברשימת הפגישות, ייתכן שתראו של-"קווין" יש כתובת דוא"ל מאומתת מ-example.com בכחול. - מאומת על ידי Webex (
domain.com) - אישורים שהונפקו על ידי רשות אישורים של Webex מספקים רמת הגנה מוגבלת יותר. למרות שעדיף על פני היעדר הגנה על זהות, משתתפים אלה אינם מסומנים כ"אומתים ב-Zero Trust E2E". במקום זאת, סטטוס הזהות שלהם מוצג בטקסט אפור, מה שמציין שהזהות אומתה על ידי רשות האישור של Webex. - משתמש אורח לא מאומת (
לא מאומת) - למרות שזהות המשתתפים האורחים אינה מאומתת (מכיוון שאין תהליך כניסה), הם עדיין זקוקים לאישור כדי להצטרף לקבוצת MLS לשיחה או פגישה. אישור זה מונפק על ידי רשות אישורים של Webex ומשתמש ב-"אנונימי" כשם המשתמש.
בנוסף, קוד אבטחה של פגישה הנגזר מהמצב הקריפטוגרפי של כל המשתתפים מסייע בזיהוי התקפות "אדם באמצע" בכך שהוא מאפשר למשתתפים לאמת שכולם חולקים את אותו הקשר מאובטח של פגישה. על ידי שילוב של אימות זהות קריפטוגרפי עם הצפנה מקצה לקצה, תכונת "מניעת Deepfakes" מציעה הגנה חזקה מפני התחזות ואיומי מדיה סינתטית, תוך שמירה על שלמות וסודיות הפגישות הן באפליקציית Webex והן במכשירי RoomOS.
ניהול פריסת תעודות
ארגונים יכולים לפשט את הפריסה והניהול של אישורי זהות של משתמשי קצה המסופקים על ידי הלקוח על ידי התקנתם במכשירים המנוהלים על ידי החברה באמצעות יישומי ניהול מכשירים ניידים (MDM), ניהול יישומים ניידים (MAM) או ניהול ניידות ארגונית (EMM). פלטפורמות ניהול אלו מאפשרות למנהלי IT לספק, להגדיר ולשלוט באופן מרכזי באישורים ובמדיניות אבטחה קשורה במגוון רחב של מכשירים, בין אם בבעלות תאגידית או בבעלות אישית. לדוגמה, Microsoft Intune תומך הן ביכולות MDM והן ביכולות MAM המאפשרות לארגונים לפרוס ולנהל את אפליקציית Webex ואת תצורות האבטחה שלה, כולל אישורי זהות, במכשירים מנוהלים. באופן דומה, Cisco Meraki Systems Manager מספק יכולות MDM לרישום מכשירים, דחיפת פרופילי תצורה ופריסת אישורים כדי להבטיח סטטוס של מכשירים מהימנים. מינוף פתרונות ניהול אלה מפחית את תקורת הניהול, מפשט את ניהול מחזור חיי האישורים ומשפר את מצב האבטחה עבור פגישות Webex E2EE עם תכונות של "מניעת Deepfakes".
ניהול זהויות Webex
Webex משתמש בארכיטקטורת אפס אמון - "לעולם אל תסמכו, תמיד אימות" - כדי לנהל זהויות משתמשים. על ידי מינוף פרוטוקולים סטנדרטיים בתעשייה (SAML 2.0, OIDC, OAuth 2.0 ו-SCIM 2.0), Webex מבטיח בקרת גישה מאובטחת, ניתנת להרחבה ואוטומטית. סעיף זה מתאר את המסגרת הטכנית לשילוב ספקי זהויות (IdPs) ולתחזוקה של סביבת שיתוף פעולה מאובטחת.
שלושת עמודי התווך של הזהות
ניהול זהויות וגישה (IAM) יעיל עבור Webex מסתמך על:
- הקצאת משאבים (CRUD) - ניהול מחזורי חיים של משתמשים (יצירה, קריאה, עדכון, מחיקה) כדי להבטיח ש"מקור האמת" תואם לפלטפורמת שיתוף הפעולה.
- אימות (AuthN) - אימות זהות משתמש באמצעות אישורים או טוקנים מאובטחים.
- הרשאה (AuthZ) - הגדרת הרשאות מפורטות ורמות גישה ל-API לאחר אימות.
הקצאה & ניהול מחזור חיים
Webex תומך במספר שיטות לסנכרון משתמשים וקבוצות:
- SCIM 2.0— סטנדרט הענן המועדף. זה הופך את מחזור חיי המשתמש לאוטומטי, ומבטיח שיציאה מהמערכת ב-IdP תבטל אוטומטית את גישת Webex.
- מחבר ספריות- כלי של סיסקו לסביבות היברידיות, המגשר בין Active Directory (AD) מקומי לענן Webex.
- הקצאה מבוססת API- משתמש ב-"People API" של Webex ליצירת משתמשים תכנותיים והקצאת רישיונות בסביבות מורכבות.
- LDAP מדור קודם- נתמך עבור ספריות מקומיות (למשל, CUCM), אם כי פחות מותאם לתעבורת ענן מודרנית.
אימות & מסגרות הרשאה
- אימות (AuthN):
- SAML 2.0— התקן הארגוני לכניסה יחידה (SSO). Webex משמש כספק השירות (SP), ומאמת קביעות XML מה-IdP של החברה.
- OIDC (OpenID Connect)— שכבת זהות מודרנית וקלת משקל הבנויה על OAuth 2.0 באמצעות JSON Web Tokens (JWTs). הוא תומך ב"כתובות URL לגילוי" לצורך תצורה אוטומטית.
- אישור (AuthZ):
- OAuth 2.0— מנהל גישת API באמצעות אסימוני גישה קצרי מועד (המגדירים טווחים) ואסימוני רענון ארוכי מועד. זה אוכף אבטחה באמצעות PKCE (מפתח הוכחה להחלפת קוד) עבור לקוחות ציבוריים.
הִשׁתַלְבוּת & אסטרטגיות מרובות IdP
Webex מספקת מסלולים מיוחדים לאינטגרציה חלקה:
- אשף מזהה הזנה— הנתיב המומלץ עבור סביבות מיקרוסופט. הוא משתמש ב-API של Microsoft Graph לסנכרון מאפיינים מתקדם (אווטארים, היררכיות) ומאפשר אוטומציה OIDC/SAML תְצוּרָה.
- Duo Security- מוסיף "אבטחת זהות רציפה" על ידי אימות תנוחת המכשיר והפעלת MFA עמיד בפני פישינג.
תמיכה במספר IdP:Webex מאפשר לארגונים לאחד מספר IdPs עצמאיים בתוך מרכז בקרה יחיד.
- מקרי שימוש - מיזוגים, רכישות או מחלקות IT מבוזרות.
- ניתוב - בקשות אימות מנותבות על סמך דומיינים או קבוצות משתמשים.
- שיקול דעת - דורש תיאום קפדני כדי לשמור על מדיניות אבטחה עקבית בכל המקורות המאוחדים.
דוגמה לשילובי זהויות IdP הנפוצים ביותר עם Webex:
|
פלטפורמת IdP |
פרוטוקול SSO |
תמיכה ב-SCIM |
|---|---|---|
|
מזהה Microsoft Entra |
SAML 2.0, OIDC |
כן |
|
Okta |
SAML 2.0, OIDC |
כן |
|
PingFederate |
SAML 2.0, OIDC |
כן |
|
Google Apps |
סאמל 2.0 |
לא (נתמך על ידי JIT) |
|
ADFS |
סאמל 2.0 |
לא |
שיטות עבודה מומלצות וחוסן
- שחזור SSO - השתמש תמיד בקישור המובנה "שחזור SSO" במרכז הבקרה כדי לעקוף את SSO באמצעות סיסמה חד-פעמית (OTP) אם תצורת IdP נכשלת.
- ניהול תעודות - ניטור תוקף תעודת SAML. אשף ה-SSO מבצע אוטומציה של חילופי מטא-נתונים, ומפחית שגיאות ידניות.
- פתרון בעיות - השתמש בכלי SAML Tracer כדי לבדוק קביעות XML ולאמת פורמטים של NameID אם מתעוררות בעיות אימות.
- תנוחת אבטחה - הוציאו משימוש באופן קבוע סוגי מענק מדור קודם וודאו ש-PKCE מיושם עבור כל האינטגרציות של לקוחות ציבוריים.
סיכום - זהות עבור פגישות Webex
אסטרטגיית זהות חזקה היא תהליך מחזור חיים מתמשך. על ידי שילוב SCIM לצורך הקצאת משאבים, OIDC/SAML לאימות, ו-OAuth לאימות, ארגונים יכולים להבטיח חוויה מאובטחת וחלקה למשתמשים תוך שמירה על שליטה אדמיניסטרטיבית קפדנית.
מודל האבטחה של Webex
סיסקו נותרה מחויבת בתוקף לשמירה על מובילות בתחום אבטחת הענן. ארגון האבטחה והאמון של סיסקו עובד עם צוותים ברחבי החברה כדי לבנות אבטחה, אמון ושקיפות במסגרת התומכת בתכנון, פיתוח ותפעול של תשתיות ליבה כדי לעמוד ברמות האבטחה הגבוהות ביותר בכל מה שאנו עושים.
ארגון זה מחויב גם לספק ללקוחותינו את המידע הדרוש להם כדי לצמצם ולנהל סיכוני אבטחת סייבר.
מודל האבטחה של Webex (איור 8) בנוי על אותו יסוד אבטחה המושרש עמוק בתהליכים של סיסקו.
ארגון Webex פועל באופן עקבי לפיתוח, הפעלה ופיקוח מאובטחים של שירותי Webex. נדון בכמה מהאלמנטים הללו במסמך זה.

אבטחה ואמון של סיסקו
מחזור החיים של פיתוח מאובטח של סיסקו
בסיסקו, אבטחה אינה דבר של מה בכך. זוהי גישה ממושמעת לבנייה ואספקה של מוצרים ושירותים ברמה עולמית, מהיסוד. כל צוותי פיתוח המוצר של Cisco® נדרשים לפעול לפי מחזור החיים של Cisco Secure Development. זהו תהליך חוזר ומדידה שנועד להגביר את החוסן והאמינות של מוצרי סיסקו. השילוב של כלים, תהליכים והדרכת מודעות המוצגים בכל שלבי מחזור חיי הפיתוח מסייע להבטיח הגנה מעמיקה. זה גם מספק גישה הוליסטית לחוסן המוצר. צוות פיתוח המוצר של Webex עוקב בלהט אחר מחזור חיים זה בכל היבט של פיתוח המוצר.
קרא עוד על מחזור החיים של פיתוח מאובטח.
כלי אבטחה בסיסיים של סיסקו
ארגון האבטחה והאמון של סיסקו מספק את התהליך והכלים הדרושים המעניקים לכל מפתח את היכולת לנקוט עמדה עקבית כאשר הוא עומד בפני החלטה בנושא אבטחה.
קיום צוותים ייעודיים לבנייה ואספקה של כלים כאלה מסיר אי ודאות מתהליך פיתוח המוצר.
כמה דוגמאות לכלי עבודה כוללות:
- דרישות בסיסיות של אבטחת מוצרים (PSB) שמוצרים חייבים לעמוד בהן
- כלי בניית איומים המשמשים במהלך מידול איומים
- הנחיות קידוד
- ספריות מאומתות או מאושרות שמפתחים יכולים להשתמש בהן במקום לכתוב קוד אבטחה משלהם
- כלי בדיקת פגיעויות אבטחה (לניתוח סטטי ודינמי) המשמשים לאחר הפיתוח לבדיקת פגמי אבטחה
- מעקב תוכנה המנטר ספריות של סיסקו ושל צד שלישי ומודיע לצוותי המוצר כאשר מזוהה פגיעות
מבנה ארגוני המטמיע אבטחה בתהליכי סיסקו
לסיסקו יש מחלקות ייעודיות להטמעה וניהול של תהליכי אבטחה ברחבי החברה כולה. כדי להישאר מעודכנים כל הזמן באיומי ובאתגרי אבטחה, סיסקו מסתמכת על:
- צוות אבטחת מידע (InfoSec) ענן של סיסקו
- צוות תגובה לאירועי אבטחת מוצרים של סיסקו (PSIRT)
- אחריות משותפת לאבטחה
סיסקו אינפו-אבטחת ענן
צוות זה, בראשות קצין האבטחה הראשי לענן, אחראי על אספקת סביבת Webex בטוחה ללקוחותינו. InfoSec משיגה זאת על ידי הגדרה ואכיפה של תהליכים וכלים אבטחה עבור כל הפונקציות הכרוכות באספקת Webex לידי לקוחותינו.
בנוסף, Cisco InfoSec Cloud עובדת עם צוותים אחרים ברחבי סיסקו כדי להגיב לכל איום אבטחה על שירות Webex.
Cisco InfoSec אחראית גם על שיפור מתמיד במצב האבטחה של Webex.
צוות תגובה לאירועי אבטחת מוצרים של סיסקו (PSIRT)
Cisco PSIRT הוא צוות גלובלי ייעודי שמנהל את הזרם, החקירה והדיווח של בעיות אבטחה הקשורות למוצרים ושירותים של סיסקו. PSIRT משתמש באמצעים שונים לפרסום מידע, בהתאם לחומרת בעיית האבטחה. סוג הדיווח משתנה בהתאם לתנאים הבאים:
- קיימים תיקוני תוכנה או פתרונות עוקפים כדי לטפל בפגיעות, או שגילוי פומבי נוסף של תיקוני קוד מתוכנן כדי לטפל בפגיעויות בחומרה גבוהה.
- PSIRT זיהתה ניצול פעיל של פגיעות שעלולה להוביל לסיכון גדול יותר עבור לקוחות סיסקו. ייתכן ש-PSIRT יזרז את פרסום הודעת אבטחה המתארת את הפגיעות במקרה זה ללא זמינות מלאה של תיקונים.
- מודעות ציבורית לפגיעות המשפיעה על מוצרי סיסקו עלולה להוביל לסיכון גדול יותר עבור לקוחות סיסקו. שוב, PSIRT עשוי להתריע בפני לקוחות, גם ללא זמינות מלאה של תיקונים.
בכל המקרים, PSIRT חושף את כמות המידע המינימלית שמשתמשי הקצה יזדקקו לה כדי להעריך את השפעת הפגיעות ולנקוט בצעדים הנדרשים להגנה על סביבתם. PSIRT משתמש בסולם CVSS (Common Vulnerability Scoring System) כדי לדרג את חומרת הבעיה שנחשפה. PSIRT אינו מספק פרטי פגיעויות שעלולים לאפשר למישהו ליצור פרץ.
למידע נוסף על PSIRT, ראו צוות תגובה לאירועי אבטחת מוצרים של סיסקו.
אחריות ביטחונית
למרות שכל אדם בקבוצת Webex אחראי על האבטחה, הכללים העיקריים הם כדלקמן:
- מנהל אבטחה ראשי, ענן
- סגן נשיא ומנהל כללי, יישומי שיתוף פעולה בענן של סיסקו
- סגן נשיא, הנדסה, יישומי שיתוף פעולה בענן של סיסקו
- סגן נשיא, ניהול מוצר, יישומי שיתוף פעולה בענן של סיסקו
בדיקות חדירה פנימיות וחיצוניות
קבוצת Webex מבצעת בדיקות חדירה קפדניות באופן קבוע, באמצעות מעריכים פנימיים. מעבר לנהלים הפנימיים המחמירים שלה, Cisco InfoSec מעסיקה גם מספר רב של צדדים שלישיים בלתי תלויים כדי לבצע ביקורות קפדניות כנגד המדיניות, הנהלים והיישומים הפנימיים של סיסקו. ביקורות אלו נועדו לאמת דרישות אבטחה קריטיות למשימה עבור יישומים מסחריים וממשלתיים כאחד. סיסקו משתמשת גם בספקים חיצוניים כדי לבצע בדיקות חדירה והערכות שירות שוטפות, מעמיקות, בסיוע קוד. כחלק מההתקשרות, צד שלישי מבצע את הערכות האבטחה הבאות:
- זיהוי פגיעויות קריטיות ביישומים ובשירותים והצעת פתרונות
- המלצה על תחומים כלליים לשיפור אדריכלי
- זיהוי שגיאות קידוד ומתן הדרכה לשיפור שיטות קידוד
מעריכים חיצוניים עובדים ישירות עם צוות ההנדסה של Webex כדי להסביר את הממצאים ולאמת את התיקון. עיין בחבילת האמון של מכתבי אימות של Webex Meetings לקבלת מידע על אימות בדיקות חדירה.
אבטחת מרכז הנתונים של Webex
Webex הוא פתרון תוכנה כשירות (SaaS) המסופק דרך Webex Cloud, פלטפורמת אספקת שירותים מאובטחת ביותר עם ביצועים, אינטגרציה, גמישות, גמישות וזמינות מובילים בתעשייה. Webex Cloud הוא תשתית תקשורת שנבנתה במיוחד לתקשורת אינטרנט בזמן אמת.
מפגשי Webex משתמשים בציוד החלפה הממוקם במרכזי נתונים מרובים ברחבי העולם. מרכזי נתונים של סיסקו משמשים עבור רוב שירותי Webex Cloud. מרכזי נתונים של Amazon Web Services (AWS) ו-Microsoft Azure התואמים ל-SOC2 ומשמשים גם הם לאספקת שירותים נוספים במקרי ענן פרטיים. מרכזי נתונים אלה ממוקמים אסטרטגית ליד נקודות גישה מרכזיות לאינטרנט ומשתמשים בסיבים אופטיים ייעודיים ברוחב פס גבוה כדי לנתב תעבורה ברחבי העולם.
בנוסף, סיסקו מפעילה מיקומי נקודת נוכחות (PoP) ברשת המאפשרים חיבורי עמוד שדרה, עמיתות לאינטרנט, גיבוי אתרים גלובלי וטכנולוגיות אחסון במטמון כדי לשפר את הביצועים והזמינות עבור משתמשי הקצה.
אבטחה פיזית
אבטחה פיזית במרכז הנתונים כוללת מעקב וידאו של מתקנים ומבנים וזיהוי דו-שלבי כפוי לכניסה. בתוך מרכזי נתונים של סיסקו, הגישה נשלטת באמצעות שילוב של קוראי תגים ובקרות ביומטריות. בנוסף, בקרות סביבתיות (לדוגמה, חיישני טמפרטורה ומערכות כיבוי אש) ותשתית להמשכיות שירות (כגון גיבוי חשמל) מסייעות להבטיח שהמערכות יפעלו ללא הפרעות.
שרתי מרכזי נתונים מחולקים ל"אזורי אמון", בהתבסס על רגישות התשתית. לדוגמה, מסדי נתונים "כלואים", לתשתית הרשת יש חדרים ייעודיים, וכל מדפי הציוד נעולים. רק אנשי אבטחה של סיסקו ומבקרים מורשים בליווי אנשי סיסקו יכולים להיכנס למרכזי הנתונים.
רשת הייצור של סיסקו היא רשת אמינה ביותר: רק מעט מאוד אנשים עם רמות אמון גבוהות מקבלים גישה לרשת.
אבטחת תשתית ופלטפורמה
אבטחת פלטפורמה כוללת את אבטחת הרשת, המערכות ומרכז הנתונים של Webex בכללותו. כל המערכות עוברות סקירת אבטחה יסודית ואימות קבלה לפני פריסת הייצור, כמו גם הקשחה שוטפת, תיקוני אבטחה, סריקה והערכת פגיעויות.
שרתים מוקשחים באמצעות הנחיות יישום טכני של אבטחה (STIGs) שפורסמו על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST). חומות אש מגנות על היקף הרשת. רשימות בקרת גישה (ACL) מפרידות בין אזורי אבטחה שונים. מערכות גילוי חדירות (IDS) קיימות, ופעילויות חתומות ומנוטרות באופן רציף. סריקות אבטחה פנימיות וחיצוניות יומיות נערכות ברחבי Webex. כל המערכות עוברות הקשיחות ומתוקנות כחלק מתחזוקה שוטפת. בנוסף, סריקות והערכות פגיעויות מתבצעות באופן רציף.
המשכיות השירות והתאוששות מאסון הם מרכיבים קריטיים בתכנון אבטחה. תכנון מרכזי הנתונים של סיסקו עם גיבויים גלובליים של האתר וזמינות גבוהה מסייע לאפשר מעבר גיאוגרפי לגיבוי של שירותי Webex. אין נקודת כשל אחת.
פרטיות Webex
Webex מתייחסת ברצינות להגנה על נתוני לקוחות. אנו אוספים, משתמשים ומעבדים מידע של לקוחות אך ורק בהתאם ל הצהרת הפרטיות של סיסקו ול גילוי הנאות של הצעות Webex Meetings.
השירות בנוי תוך מחשבה על פרטיות והוא מתוכנן כך שניתן להשתמש בו באופן התואם את דרישות הפרטיות הגלובליות, כולל תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR), חוק פרטיות הצרכן של קליפורניה (CCPA), חוק הגנת המידע האישי והמסמכים האלקטרוניים של קנדה (PIPEDA), חוק הגנת מידע בריאותי אישי (PHIPA), חוק ניידות ואחריות ביטוח בריאות (HIPAA) וחוק זכויות חינוך ופרטיות משפחתיות (FERPA).
נתונים אדמיניסטרטיביים
מידע אודות עובדים או נציגים של לקוח או צד שלישי אחר שנאסף ומשמש את סיסקו על מנת לנהל או לנהל את אספקת המוצרים או השירותים של סיסקו, או לנהל או לנהל את חשבון הלקוח או הצד השלישי למטרות עסקיות של סיסקו עצמה.
נתונים אדמיניסטרטיביים עשויים לכלול את השם, הכתובת, מספר הטלפון, כתובת הדוא"ל ומידע על התחייבויות חוזיות בין סיסקו לצד שלישי, בין אם נאספו בזמן הרישום הראשוני ובין אם מאוחר יותר בקשר לניהול או ניהול של מוצרים או שירותים של סיסקו.
נתונים אדמיניסטרטיביים עשויים לכלול גם את כותרת הפגישה, שעתה ומאפיינים אחרים של הפגישות שנערכו ב-Webex על ידי עובדים או נציגים של לקוח. דוגמאות נוספות לנתונים אדמיניסטרטיביים עשויות לכלול את כותרת הפגישה, שעת הפגישה ומאפיינים אחרים של הפגישות המתארחות ב-Webex.
נתוני לקוחות
זה כולל את כל הנתונים (כולל טקסט, אודיו, וידאו, קבצי תמונה והקלטות) המסופקים לסיסקו על ידי לקוח בקשר לשימוש הלקוח במוצרים או בשירותים של סיסקו, או שפותחו על ידי סיסקו לבקשתו הספציפית של לקוח בהתאם להצהרת עבודה או חוזה.
נתוני לקוח כוללים גם קבצי יומן, תצורה או קושחה, וקבצי ליבה.
אלו נתונים שנלקחים ממוצר או שירות ומסופקים לסיסקו כדי לעזור לנו לפתור בעיה בקשר לבקשת תמיכה. נתוני לקוחות אינם כוללים נתונים אדמיניסטרטיביים, נתוני תמיכה או נתוני טלמטריה.
נתוני תמיכה
מידע שסיסקו אוספת כאשר לקוח מגיש בקשה לשירותי תמיכה או פתרון בעיות אחר, כולל מידע על חומרה או תוכנה. הוא כולל פרטים הקשורים לאירוע התמיכה, כגון מידע על אימות, מידע על מצב המוצר, נתוני מערכת ורישום אודות התקנות תוכנה ותצורות חומרה, וקבצי מעקב שגיאות. נתוני תמיכה אינם כוללים קבצי יומן, תצורה או קושחה, או קבצי ליבה שנלקחו ממוצר וסופקו לנו כדי לעזור לנו לפתור בעיה בקשר לבקשת תמיכה, שכולם דוגמאות לנתוני לקוח.
נתוני טלמטריה
מידע שנוצר על ידי מכשור ומערכות רישום שנוצרו באמצעות השימוש והתפעול של המוצר או השירות.
כל הנתונים שנאספים בענן Webex מוגנים על ידי מספר שכבות של טכנולוגיות ותהליכי אבטחה חזקים. להלן דוגמאות לבקרות הממוקמות בשכבות שונות של פעולות Webex כדי להגן על נתוני לקוחות:
- בקרת גישה פיזית— הגישה הפיזית נשלטת באמצעות ביומטריה, תגים ומעקב וידאו. הגישה למרכז הנתונים דורשת אישורים ומנוהלת באמצעות מערכת כרטיסים אלקטרונית.
- בקרת גישה לרשת— היקף רשת Webex מוגן על ידי חומות אש. כל תעבורת רשת הנכנסת או יוצאת ממרכז הנתונים של Webex מנוטרת באופן רציף באמצעות מערכת זיהוי חדירות (IDS). רשת Webex מחולקת גם לאזורי אבטחה נפרדים. התעבורה בין האזורים נשלטת על ידי חומות אש ורשימות בקרת גישה (ACL).
- בקרות ניטור וניהול תשתיות— כל רכיב בתשתית, כולל התקני רשת, שרתי יישומים ומסדי נתונים, עומד בהנחיות מחמירות. הם גם עוברים סריקות תקופתיות כדי לזהות ולטפל בכל חששות אבטחה.
- בקרות קריפטוגרפיות- כפי שצוין קודם לכן, כל הנתונים אל וממרכז הנתונים של Webex לאפליקציות Webex ומכשירי Webex הרשומים בענן מוצפנים, למעט תעבורת PSTN ותעבורה לא מוצפנת. SIP/H323 מכשירי וידאו בפגישה מבוססת ענן. בנוסף, נתונים קריטיים המאוחסנים ב-Webex, כגון סיסמאות, מוצפנים.
עובדי סיסקו אינם ניגשים לנתוני לקוחות אלא אם כן הלקוח מבקש גישה לנתוני תמיכה. הגישה למערכות במקרה זה מותרת על ידי המנהל רק בהתאם לעקרון "הפרדת תפקידים". הוא מוענק רק על בסיס צורך לדעת ועם רמת הגישה הנדרשת לביצוע העבודה בלבד. גישת העובדים למערכות אלו נבדקת באופן קבוע גם כן לצורך עמידה בתקנות. עובדים בעלי גישה כזו נדרשים לעבור הכשרה שנתית בנושא מודעות לאבטחת מידע לפי ארגון התקינה הבינלאומי (ISO) 27001.
בנוסף לבקרות מיוחדות אלו, כל עובד של סיסקו עובר בדיקת רקע, חותם על הסכם סודיות (NDA) ומשלים הכשרה בנושא קוד התנהגות עסקית (COBC).
חוק ניידות ואחריות ביטוח בריאות (HIPAA)
סיסקו יכולה לספק מידע בנוגע לפונקציונליות, הטכנולוגיה והאבטחה של Webex. ישות המכוסה ב-HIPAA תצטרך להתייעץ עם יועץ משפטי משלה כדי לקבוע האם הפונקציונליות של Webex תואמת את תהליכי העסק שלה ומוכנה ל-GDPR.
תקני תעשייה והסמכות
בנוסף לעמידה בסטנדרטים הפנימיים המחמירים שלנו, Webex גם מקיים באופן שוטף אימותים של צד שלישי כדי להדגים את מחויבותנו לאבטחת מידע. וובקס הוא:
- בעל הסמכת ISO 27001, 27017, 27018 ו-27701
- בקרות ארגון שירות (SOC) 2 סוג II נבדקו
- מוסמך SOC 3
- קוד התנהגות בענן
- CSTAR
- אימות קטלוג בקרות תאימות של מחשוב ענן (C5)
- מוסמך FedRAMP (בקרו באתר cisco.com/go/fedramp לפרטים נוספים, היקף וזמינות)
שירות Webex המאושר על ידי FedRAMP זמין רק ללקוחות ממשלת ארה"ב וחינוך.
עיין בפורטל האמון של סיסקו לקבלת סט מלא של מסמכי אבטחה, פרטיות ותאימות, כולל פרטים על הסטנדרטים וההסמכות הנ"ל.