- Strona główna
- /
- Artykuł
Wprowadzenie
Webex Meetings umożliwia pracownikom i zespołom wirtualnym na całym świecie współpracę w czasie rzeczywistym, niwelując odległość i zapewniając płynne doświadczenie „w jednym pomieszczeniu”. Organizacje od przedsiębiorstw komercyjnych po agencje rządowe korzystają z rozwiązań Webex, aby usprawnić procesy biznesowe i osiągnąć lepsze wyniki w obszarach sprzedaży, marketingu, szkoleń, zarządzania projektami i funkcji wsparcia.
Dla tych organizacji bezpieczeństwo nie jest tylko funkcją — to podstawowy wymóg. Niezależnie od tego, czy chodzi o planowanie spotkań, uwierzytelnianie uczestników czy udostępnianie poufnych dokumentów, współpraca musi być chroniona na każdym etapie kontaktu.
Cisco podnosi ten standard dzięki Ultrabezpiecznym spotkaniom Webex. Dzięki wdrożeniu architektury Zero Trust bezpośrednio na platformie, Cisco gwarantuje, że bezpieczeństwo jest nieodłącznym elementem każdej interakcji. Podejście to obejmuje:
- Szyfrowanie typu Zero Trust typu end-to-end (E2EE)— zaawansowane protokoły szyfrowania gwarantują, że treść spotkania pozostanie prywatna i niedostępna dla nieupoważnionych stron, w tym samej firmy Cisco.
- Zero Trust End-to-End Identity (E2EI)— Ta funkcja wykorzystuje certyfikaty dostarczone przez klienta w celu weryfikacji tożsamości uczestników spotkań, zapewniając solidną ochronę przed nieautoryzowanym dostępem i wyrafinowanymi atakami deepfake.
Dla Cisco bezpieczeństwo jest najwyższym priorytetem na każdym etapie projektowania, rozwoju, wdrażania i konserwacji sieci, platform i aplikacji. Możesz włączyć Webex Meetings do swoich procesów biznesowych z całkowitą pewnością, wiedząc, że Twoje narzędzia do współpracy są zaprojektowane tak, aby spełniać nawet najbardziej rygorystyczne wymogi bezpieczeństwa i zgodności.
Czego się nauczysz
W tym artykule opisano funkcje bezpieczeństwa platformy konferencyjnej Webex Suite (WSMP). W artykule omówiono typy spotkań, opcje wdrażania, funkcje, narzędzia, procesy i rozwiązania inżynieryjne, które pomagają klientom swobodnie współpracować w ramach platformy Webex.
Platforma konferencyjna Webex Suite obejmuje:
- Webex Meetings
- Webex Webinars
- Webex Edge Audio
- Webex Cloud Connected Audio
- Asystent Webex
- Ankieta (przez Slido)
Produkty te są częścią zintegrowanego pakietu Webex Suite, który integruje spotkania, połączenia, wiadomości, tablice i wiele innych funkcji, zapewniając płynną współpracę. Platforma obsługuje spotkania liczące od 2 do 1000 uczestników, webinaria do 5000 uczestników, a webcasty do 100 000 widzów. Oferuje zaawansowane funkcje, takie jak pomoc oparta na sztucznej inteligencji, tłumaczenie w czasie rzeczywistym i ulepszone mechanizmy kontroli bezpieczeństwa. Pakiet Webex Suite jest dostępny w różnych modelach zakupu, w tym w ramach Umowy Enterprise i subskrypcji nazwanego użytkownika, a ponadto oferuje dodatkowe dodatki i integracje, które spełniają zróżnicowane potrzeby organizacji.
Przyszłe funkcje
Niektóre funkcje omówione w tym dokumencie mają zostać udostępnione ogółowi użytkowników w roku kalendarzowym 2026. Wdrożenie funkcji oznaczonych symbolem
planowane jest na III kwartał roku kalendarzowego 2026. Wdrożenie funkcji oznaczonych symbolem 
planowane jest na pierwszy kwartał roku kalendarzowego 2027. Jeśli chcesz uzyskać wcześniejszy dostęp do tych funkcji, skontaktuj się ze swoim menedżerem konta.
Podstawowe usługi i komponenty Webex Meetings
- Webex Meetings jest częścią pakietu Webex Suite, zapewniającego audio/video konferencje z udostępnianiem treści i możliwością prowadzenia konferencji internetowych.
- Platforma obejmuje wiele mikrousług, takich jak: usługa spotkań, usługa webinariów, usługa tożsamości, usługa nagrywania, usługa asystenta AI, usługa analizy, usługa administracyjna i usługa multimedialna.
- Usługa Webex Meetings obsługuje aplikacje i urządzenia zarejestrowane w chmurze, umożliwiając użytkownikom dołączanie do spotkań z różnych platform operacyjnych i urządzeń. Użytkownicy mogą również dołączać do spotkań za pośrednictwem PSTN i punktów końcowych SIP.
Architektura i wdrażanie
- Usługi Webex Meetings są regionalizowane i replikowane w wielu niezależnych centrach danych, co gwarantuje redundancję i wysoką dostępność.
- Usługi multimedialne są dystrybuowane globalnie za pomocą klastrów serwerów multimedialnych w każdym centrum danych, co zapewnia lokalną i geograficzną redundancję.
- Serwery multimedialne obsługują głos, wideo i udostępnianie treści. Media są zazwyczaj szyfrowane przy użyciu algorytmu AES-256-GCM.
- Architektura obsługuje szyfrowaną sygnalizację TLS/HTTPS i zaszyfrowanych strumieni multimedialnych.
Webex obsługuje dołączanie do spotkań z wielu platform i urządzeń, w tym:
- Aplikacja desktopowa Webex na systemy Windows, Mac i Linux.
- Aplikacja mobilna Webex na systemy Android i iOS.
- Aplikacja internetowa Webex wykorzystująca przeglądarki Chrome, Edge, Safari, Firefox i inne.
- Urządzenia Cisco Room i Desk.
- Zewnętrzne punkty końcowe audio i wideo oparte na standardach SIP.
- Urządzenia PSTN.
Ewoluujące wdrożenia Webex: Priorytetowe traktowanie suwerenności i bezpieczeństwa opartego na zasadzie zerowego zaufania
Ponieważ organizacje coraz częściej stawiają na suwerenność danych i rygorystyczne standardy bezpieczeństwa, Webex udoskonala swoje modele wdrażania, aby zapewnić większą kontrolę nad treścią spotkań, gwarantując, że bezpieczeństwo nigdy nie będzie realizowane kosztem funkcjonalności.
Suwerenność klienta Webex
W odpowiedzi na rosnące zapotrzebowanie na przechowywanie danych firma Webex wprowadziła udoskonalone możliwości suwerenności. Zaczynając od nagrywania i mając w przyszłości obsługę większej liczby usług, organizacje mogą teraz zachować kontrolę nad treścią swoich spotkań dzięki następującym rozwiązaniom:
- Przetwarzanie lokalne— przetwarzanie treści spotkań, np. nagrań, w ramach własnej infrastruktury.
- Przechowywanie lokalne— korzystanie z własnych usług przechowywania plików w celu przechowywania poufnych zasobów spotkań, co gwarantuje, że dane pozostają w określonych granicach geograficznych lub organizacyjnych.
Ultrabezpieczne spotkania Webex
Historycznie rzecz biorąc, funkcje „ultra bezpiecznego” bezpieczeństwa, takie jak szyfrowanie typu Zero Trust End-to-End (E2EE), często wiązały się z kompromisami w zakresie funkcjonalności spotkań, ponieważ usługi o wartości dodanej w chmurze wymagają dostępu do kluczy szyfrujących, a do tych spotkań mogła dołączyć tylko ograniczona liczba typów punktów końcowych. Firma Webex wyeliminowała ten kompromis dzięki:
- Bogactwo funkcji w Zero Trust—Webex zrewolucjonizował spotkania Zero Trust End-to-End Encrypted (E2EE), dodając funkcjonalności, dzięki którym spotkania Zero Trust stają się bogate w funkcje. Obsługa większej liczby typów punktów końcowych zapewnia płynną pracę bez konieczności rezygnowania z narzędzi niezbędnych do nowoczesnej współpracy.
- Zero Trust dla standardowych spotkań—Webex zintegrował możliwości Zero Trust E2EE bezpośrednio ze standardowymi spotkaniami. Dzięki temu nawet codzienna współpraca może korzystać z najwyższego poziomu bezpieczeństwa, oferując spójną ochronę w całym ekosystemie Webex.
Zunifikowane podejście do współpracy
Dzięki integracji suwerenności klienta z zaawansowanymi możliwościami Zero Trust E2EE firma Webex umożliwia organizacjom osiągnięcie podwójnego celu: organizowanie niezwykle bezpiecznych spotkań zgodnych z zasadą Zero Trust w chmurze Webex, przy jednoczesnym zachowaniu pełnej kontroli nad przetwarzaniem i przechowywaniem najważniejszych treści spotkań na miejscu. Taka synergia zapewnia elastyczność i bezpieczeństwo niezbędne w nowoczesnych środowiskach korporacyjnych, które muszą spełniać wymogi zgodności.
Struktura zabezpieczeń Webex: Trzy poziomy ochrony
Webex oferuje trzy poziomy bezpiecznych spotkań, które spełniają rygorystyczne wymogi dotyczące zgodności, suwerenności i ochrony danych.
- Standardowe spotkania— zapewnia solidne szyfrowanie danych przesyłanych i przechowywanych. Choć spotkania te spełniają standardy bezpieczeństwa klasy korporacyjnej, nie korzystają z architektury Zero Trust, gdyż infrastruktura chmurowa zachowuje możliwość zarządzania kluczami szyfrującymi.
- Standardowe spotkania z adaptacyjnym zabezpieczeniem— Udoskonala standardowy model poprzez zastosowanie dynamicznych zasad bezpieczeństwa. Ten poziom priorytetowo traktuje szyfrowanie typu end-to-end (E2EE), gdy tylko środowisko uczestników i możliwości punktu końcowego na to pozwalają, zapewniając równowagę między elastycznością a zwiększonym bezpieczeństwem.
- Spotkania z szyfrowaniem typu „E2EE” (ang. „E-to-End Encryption”) oparte na zasadzie Zero Trust— reprezentują najwyższy poziom bezpieczeństwa. Dzięki temu modelowi klucze szyfrujące są generowane i zarządzane wyłącznie przez uczestników spotkania, co sprawia, że infrastruktura chmurowa staje się „ślepa” na strumień multimediów i treść spotkania. Taka architektura wymusza ścisłe przestrzeganie zasady Zero Trust, uniemożliwiając odszyfrowanie w chmurze przez cały czas trwania sesji.
Integracja infrastruktury hybrydowej i bezpieczeństwa
Organizacje mogą dodatkowo zwiększyć te poziomy bezpieczeństwa, wdrażając lokalne usługi Webex, takie jak Webex Video Mesh Node. Ta integracja rozszerza zakres bezpieczeństwa, umożliwiając spójną postawę Zero Trust w chmurze Webex, zapewniając jednocześnie szereg korzyści operacyjnych:
- Zoptymalizowane kierowanie ruchem multimediów— zmniejsza opóźnienia dzięki lokalnemu ruchowi multimediów, gwarantując wysoką jakość działania punktów końcowych na miejscu.
- Lokalne świadczenie usług— umożliwia hosting określonych usług spotkań, takich jak nagrywanie na miejscu, przy jednoczesnym zachowaniu ścisłego przestrzegania wymogów bezpieczeństwa i suwerenności.
- Ulepszony obwód bezpieczeństwa— ułatwia bezpieczny dostęp do infrastruktury wewnętrznej o niskim opóźnieniu, gwarantując zachowanie integralności Zero Trust nawet w przypadku integracji komponentów hybrydowych.

Usługa Standard Webex Meetings oferuje niezawodną usługę wideokonferencji o jakości profesjonalnej, umożliwiającą obsługę spotkań nawet z udziałem 1000 uczestników. Do najważniejszych funkcji należą sesje grupowe, udostępnianie treści, zintegrowane audio i wideo, asystent obsługiwany przez sztuczną inteligencję, tłumaczenie w czasie rzeczywistym, nagrywanie spotkań, czat, udostępnianie plików, tablice i integracje korporacyjne. Platforma szyfruje sygnały i strumienie multimedialne, wykorzystując szyfrowanie SRTP typu hop-by-hop. Dzięki temu chmura Webex może odszyfrowywać multimedia, umożliwiając korzystanie z zaawansowanych usług, takich jak nagrywanie, transkrypcja i funkcje sztucznej inteligencji.
Treści spotkań, takie jak nagrania, transkrypcje, tablice, czaty i pliki, są bezpiecznie przechowywane w chmurze Webex, szyfrowane algorytmem AES-256-GCM i chronione systemem zarządzania kluczami, który obsługuje hybrydowe zabezpieczenia danych i opcję „przynieś własny klucz”. Weryfikacja tożsamości odbywa się za pomocą standardowych metod, w tym logowania jednokrotnego (SSO) i integracji z zewnętrznymi dostawcami tożsamości. Rozwiązanie jest dostępne dla szerokiej gamy punktów końcowych, w tym urządzeń SIP i użytkowników PSTN, dzięki czemu nadaje się dla użytkowników wymagających kompleksowych funkcji z integracją usług w chmurze i szeroką kompatybilnością urządzeń. Administratorzy mogą kontrolować przechowywanie treści spotkań, kontrolę dostępu i funkcje spotkań za pośrednictwem Webex Control Hub, który zapewnia scentralizowane zarządzanie, diagnostykę i nadzór nad bezpieczeństwem.

Standardowe spotkania Webex z funkcją Adaptive Security obejmują wszystkie funkcje Standardowego spotkania Webex, wzbogacone o możliwości kompleksowego szyfrowania Zero Trust. W tym modelu punkty końcowe Webex obsługujące szyfrowanie typu end-to-end korzystają z protokołu Messaging Layer Security (MLS) ( RFC 9420) do negocjacji klucza i protokołu SFrame ( RFC 9605) do transportu multimediów. Takie podejście zapewnia dwie kluczowe korzyści:
- Szyfrowanie typu „zero trust end-to-end” — gdy wszyscy uczestnicy i usługi obsługują MLS i SFrame, klucze szyfrowania spotkania są generowane i udostępniane wyłącznie uczestnikom, uniemożliwiając chmurze Webex lub jakiemukolwiek pośrednikowi odszyfrowanie strumieni multimedialnych.
Jeśli do systemu dołączy się punkt końcowy lub usługa, która nie obsługuje formatów MLS i SFrame, Webex dynamicznie wprowadzi usługę współdziałania SFrame-SRTP w celu konwersji między tymi dwoma formatami multimediów. Na tym etapie poziom bezpieczeństwa spotkania zmienia się z Zero Trust na Secure, ponieważ Webex uzyskuje dostęp do kluczy szyfrujących, co umożliwia udział w spotkaniu punktom końcowym obsługującym wyłącznie protokół SRTP oraz usługom w chmurze Webex, takim jak nagrywanie i AI Assistant. Tymczasem punkty końcowe Webex nadal korzystają z MLS i SFrame.
- Tożsamość typu „zero trust end-to-end”— wszystkie punkty końcowe Webex korzystające z MLS wymieniają certyfikaty tożsamości użytkowników podczas procesu negocjacji kluczy spotkania. Certyfikaty te mogą być wydawane przez organizacje uczestników, co pozwala na prezentację i weryfikację tożsamości niezależnie od usług Webex. Ta forma zasady Zero Trust Identity gwarantuje, że uczestnicy są tymi, za kogo się podają, zapewniając ochronę przed atakami deepfake bez konieczności korzystania z usług wykrywania.

Kompleksowo szyfrowane spotkania Webex Zero Trust zapewniają zwiększone bezpieczeństwo dzięki połączeniu kompleksowego szyfrowania ze zweryfikowaną tożsamością uczestników. Ten model zabezpieczeń wykorzystuje protokół Messaging Layer Security (MLS) do negocjacji kluczy i SFrame do przesyłu multimediów, co gwarantuje, że klucze szyfrowania spotkań są generowane i udostępniane wyłącznie uczestnikom. W rezultacie chmura Webex ani żaden pośrednik nie jest w stanie odszyfrować strumieni multimedialnych, co zapewnia bezpieczeństwo na poziomie Zero Trust.
Główne cechy obejmują:
- Szyfrowanie typu „zero trust end-to-end” — wszyscy uczestnicy obsługują systemy MLS i SFrame, klucze szyfrujące spotkanie pozostają dostępne tylko dla nich, co uniemożliwia dostęp do chmury lub dostawcy usług.
- Tożsamość typu „zero trust end-to-end” — Uczestnicy wymieniają się certyfikatami tożsamości użytkowników podczas negocjacji kluczowych, które mogą zostać wydane przez ich organizacje. Umożliwia to niezależną weryfikację tożsamości bez polegania na usługach Webex, chroniąc przed atakami podszywania się i deepfake.
- Weryfikacja bezpieczeństwa— Kod bezpieczeństwa spotkania uzyskany z pakietów kluczy MLS wszystkich uczestników jest wyświetlany wszystkim uczestnikom. Zgodne kody potwierdzają, że spotkanie nie zostało przechwycone lub zmanipulowane przez atakującego typu man-in-the-middle.
- Obsługiwane funkcje i ograniczenia— Spotkania Zero Trust obsługują do 1000 uczestników, nagrywanie lokalne, czat w trakcie spotkania, przesyłanie plików, tablicę, adnotacje, zdalne sterowanie pulpitem i wiele innych funkcji. video/audio znak wodny. Jednak funkcje wymagające dostępu do chmury w celu odszyfrowania multimediów, takie jak nagrywanie sieciowe, transkrypcja, asystent AI oraz połączenia za pośrednictwem urządzeń PSTN lub SIP, nie są obsługiwane. (Wdrażając architekturę Hybrid Webex, można rozwiązać większość tych ograniczeń – patrz poniżej).
- Weryfikacja tożsamości— Organizatorzy mogą zobaczyć status weryfikacji uczestników, rozróżniając tożsamości zweryfikowane (za pośrednictwem zewnętrznych urzędów certyfikacji lub Webex) i niezweryfikowanych użytkowników, co pozwala na lepsze zarządzanie bezpieczeństwem spotkań.
Rozszerzanie granic bezpieczeństwa za pomocą węzła Video Mesh

Dodanie węzła Video Mesh do organizacji pozwala klientom świadczyć usługi spotkań lokalnych i umożliwia dołączanie lokalnych punktów końcowych do dowolnych spotkań Webex. Z punktu widzenia bezpieczeństwa integracja węzła Video Mesh pozwala zachować zasadę Zero Trust w chmurze Webex, oferując jednocześnie funkcjonalność zbliżoną do standardowych spotkań Webex. Klienci korzystają również z suwerenności danych, ponieważ usługi takie jak nagrania spotkań Video Mesh Node są przetwarzane i przechowywane lokalnie.
|
Funkcja |
Spotkania Webex Pro (Standard) z lokalnym węzłem Video Mesh (VMN) |
Spotkania Webex z szyfrowaniem typu end-to-end (Zero Trust) z lokalnym węzłem Video Mesh (VMN) |
|---|---|---|
|
Typ szyfrowania |
Skok po skoku (TLS/SRTP) |
Kompleksowo (MLS) / Rama S) |
|
Pojemność uczestników |
Do 1000 |
Do 1000 |
|
Aplikacja Webex na komputer |
Obsługiwane |
Obsługiwane |
|
Aplikacja mobilna Webex |
Obsługiwane |
Obsługiwane |
|
Aplikacja internetowa Webex |
Obsługiwane |
Obsługiwane |
|
Zestaw SDK Webex Web |
Obsługiwane |
Obsługiwane |
|
Urządzenia wideo Cisco (zarejestrowane w chmurze) |
Obsługiwane |
Obsługiwane |
|
Telefony IP Webex Calling (zarejestrowane w chmurze) |
Obsługiwane |
Obsługiwane Telefony Cisco serii 9800 Telefony Cisco serii 8875 |
|
Urządzenia wideo Cisco (Zarejestrowany w CUCM na miejscu (SIP) |
Obsługiwane |
Obsługiwane (VMN) |
|
Telefony IP Webex Calling (Zarejestrowany w CUCM na miejscu (SIP) |
Obsługiwane |
Obsługiwane (VMN) |
|
PSTN |
Obsługiwane |
Nieobsługiwane - brak zaufania |
|
Nagrywanie spotkań |
Lokalny – obsługiwany (aplikacja Webex) Chmura Webex – obsługiwany Na miejscu – obsługiwane (VMN) |
Lokalny – obsługiwany (aplikacja Webex) Na miejscu – obsługiwane (VMN) |
|
Cisco AI Assistant Podsumowania, transkrypcje, elementy działań |
Webex Cloud – Obsługiwane Na miejscu – obsługiwane (VMN) |
Webex Cloud – Obsługiwane Na miejscu – obsługiwane (VMN) |
|
Pokoje spotkań |
Obsługiwane |
Obsługiwane |
|
Wbudowane aplikacje (np. Slido) |
Obsługiwane |
Obsługiwane Nie zero zaufania |
|
Osobisty pokój spotkań |
Obsługiwane |
Obsługiwane |
|
Lobby & Kontrola wstępu |
Obsługiwane |
Obsługiwane |
|
Dołącz przed gospodarzem |
Obsługiwane |
Obsługiwane |
|
Zdalne sterowanie komputerem |
Obsługiwane |
Obsługiwane |
|
Czat, Pliki, Tablice, Adnotacje |
Obsługiwane |
Obsługiwane – nieutrwalone |
|
Transkodowanie podczas udostępniania ekranu punktom końcowym obsługującym niższą rozdzielczość wideo |
Obsługiwane |
Nieobsługiwany Udostępnianie ekranu o niskiej rozdzielczości jest używane dla wszystkich uczestników, jeśli do spotkania dołączy punkt końcowy o niskiej rozdzielczości |
Korzystanie z kompleksowego szyfrowania Zero Trust może wydłużyć czas dołączenia do spotkania o kilka sekund, ale daje wyraźną gwarancję bezpieczeństwa — dostęp do kluczy szyfrujących spotkanie mają tylko jego uczestnicy, więc dostawca usługi ani inni pośrednicy nie mogą odszyfrować jego zawartości.
Podsumowanie: Spotkania Webex i hybrydowe modele wdrożeń
Jak pokazano w powyższym porównaniu, wdrożenie węzła Video Mesh Node (VMN) pozwala usłudze Zero Trust Webex Meetings osiągnąć funkcjonalność zbliżoną do standardowych spotkań Webex. Chociaż spotkania Zero Trust nie obsługują uczestników PSTN, aplikacja internetowa Webex stanowi szeroko dostępną alternatywę dla kompleksowo szyfrowanego dostępu. Ponadto VMN umożliwia pracownikom biurowym korzystającym z telefonów stacjonarnych bezproblemowe dołączanie do spotkań Zero Trust.
Rozwiązanie Video Mesh Node zapewnia również suwerenność danych w przypadku najważniejszych treści spotkań, w tym nagrań, a w niedalekiej przyszłości także transkryptów, podsumowań i elementów działań. Przetwarzając i przechowując te dane lokalnie, VMN zapewnia klientom pełną kontrolę nad ich informacjami, jednocześnie utrzymując architekturę Zero Trust w chmurze Webex.
Prywatne spotkania Webex
Jeśli Twoja organizacja ma w sieci usługę Video Mesh, administrator może włączyć prywatne spotkania, kontaktując się z przedstawicielem konta. Funkcja ta zwiększa bezpieczeństwo Twojego spotkania, ponieważ umożliwia zakończenie transmisji danych wyłącznie na terenie Twojej firmy. Podczas planowania spotkania prywatnego nośnik zawsze kończy działanie węzłów Video Mesh w sieci firmowej bez kaskady w chmurze. Prywatne spotkania Webex zapewniają prywatność, ponieważ umożliwiają korzystanie z multimediów wyłącznie na terenie Twojej firmy, ale wprowadzają też ograniczenia, ograniczając liczbę uczestników spotkania wyłącznie do członków Twojej organizacji i blokując dostęp do usług w chmurze, takich jak nagrywanie i Cisco AI Assistant.
Aby uzyskać więcej szczegółów na temat prywatnych spotkań Webex i wskazówek dotyczących projektowania dla Webex Edge Video Mesh, zapoznaj się z artykułem Preferowana architektura dla Webex Edge Video Mesh.

Webex oferuje szeroką gamę usług hybrydowych, które pozwalają organizacjom wykorzystać istniejące inwestycje w infrastrukturę lokalną, jednocześnie czerpiąc korzyści z innowacji w chmurze, zapewniając spójne środowisko użytkownika, większe bezpieczeństwo i elastyczne opcje wdrażania rozwiązań Webex Meetings i współpracy w ogóle. Najważniejsze usługi hybrydowe dostępne w ramach Webex Meetings obejmują:
- Węzły multimedialne Video Mesh— umożliwiają telefonom IP i punktom końcowym SIP zarejestrowanym w Unified CM wysyłanie zawartości audio, wideo i udostępnianego ekranu do klastra Webex Video Mesh podczas spotkań, co poprawia routing multimediów i jakość.
- Nagrywanie za pomocą Video Mesh— umożliwia organizacjom nagrywanie spotkań Webex przy użyciu lokalnej infrastruktury. Dzięki temu wszystkie dane nagrania są przetwarzane w węźle siatki wideo i przechowywane lokalnie, co zapewnia większą kontrolę nad miejscem przechowywania i bezpieczeństwem danych.
- Usługi Webex On-Premises AI— podsumowania, transkrypty i elementy działań są przetwarzane i przechowywane lokalnie, co zapewnia większą kontrolę nad miejscem przechowywania danych i ich bezpieczeństwem.
- Usługa hybrydowego bezpieczeństwa danych— umożliwia organizacjom przechowywanie i zarządzanie kluczami szyfrowania Webex w lokalnym centrum danych, co zapewnia większe bezpieczeństwo.
- Usługa połączeń— integracja istniejącego rozwiązania Cisco Unified Communications Manager lub innego lokalnego systemu kontroli połączeń z chmurą Webex, umożliwiająca użytkownikom bezproblemowe dołączanie do spotkań.
- Usługa kalendarza— integracja z obsługiwanymi środowiskami kalendarza umożliwiająca planowanie spotkań z dowolnego miejsca bez konieczności używania wtyczek.
- Usługa katalogowa— synchronizacja katalogów użytkowników między środowiskami lokalnymi i chmurowymi w celu zapewnienia spójnego zarządzania tożsamościami użytkowników.
- Webex Edge Audio i Webex Edge Connect— zapewniają ścieżki VoIP w sieci oraz dedykowane łącza IP z obsługą QoS z lokalizacji klienta do chmury Webex, poprawiając jakość dźwięku i obniżając koszty poprzez ominięcie PSTN.
Szyfrowanie i prywatność Webex
Rozwiązanie Webex Meetings gwarantuje solidne zabezpieczenia dzięki szyfrowaniu danych sygnalizacyjnych i multimedialnych w trakcie przesyłu i w stanie spoczynku. Wszelka komunikacja między aplikacjami, urządzeniami i usługami Webex odbywa się za pomocą protokołu TLS 1.2 lub nowszego z silnymi szyframi do szyfrowania sygnałów. Strumienie multimedialne — obejmujące dźwięk, wideo, udostępnianie ekranu i udostępnianie dokumentów — są szyfrowane przy użyciu preferowanego szyfru AES-256-GCM.
Kryptografia: Szyfrowanie danych w tranzycie
Cała komunikacja między aplikacjami Webex zarejestrowanymi w chmurze, urządzeniami Webex i usługami Webex odbywa się za pośrednictwem szyfrowanych kanałów. Webex wykorzystuje protokół TLS w wersji 1.2 lub nowszej z silnymi szyframi do sygnalizacji.
Po nawiązaniu sesji za pomocą protokołu TLS wszystkie strumienie multimedialne (dźwięk, wideo, udostępnianie ekranu i udostępnianie dokumentów) zostają zaszyfrowane.
Szyfrowana sygnalizacja Webex
Usługi Webex obsługują wersje protokołu TLS 1.2 i 1.3, przy czym preferowana jest wersja TLS 1.3, jeśli jest obsługiwana przez łączący się punkt końcowy. Jeżeli klient obsługuje wyłącznie protokół TLS 1.2, serwer Webex wybiera najsilniejszy wspólny zestaw szyfrów oferowany przez klienta. W przeciwieństwie do protokołu TLS 1.2, protokół TLS 1.3 nie korzysta z wyboru zestawu szyfrów preferowanego przez serwer, ponieważ opiera się na mniejszym, starannie dobranym zestawie nowoczesnych szyfrów. Ten projekt upraszcza proces selekcji, kładąc większy nacisk na poprawę wydajności, np. skrócenie całkowitego czasu uścisku dłoni, przy jednoczesnym zachowaniu wysokiego poziomu bezpieczeństwa. Zestawy szyfrów dla protokołów TLS 1.2 i 1.3 używane przez firmę Webex są ściśle zdefiniowane i priorytetyzowane, aby zagwarantować bezpieczną komunikację.
Zestawy szyfrów TLS
Zestawy szyfrów TLS 1.3 (serwery TLS 1.3 nie stosują kolejności preferencji przy wyborze zestawu)
|
Zestaw szyfrów |
Klawisz negotiation/generation protokół |
|---|---|
|
TLS_AES_256_GCM_SHA384 |
ECDH SecP256r1MLKEM768 (równ. > 3072 bity RSA) |
|
TLS_AES_128_GCM_SHA256 |
ECDH SecP256r1MLKEM768 (równ. > 3072 bity RSA) |
|
TLS_CHACHA20_POLY1305_SHA256 |
ECDH SecP256r1MLKEM768 (równ. > 3072 bity RSA) |
Zestawy szyfrów TLS 1.2 (zestawy w kolejności preferowanej przez serwer)
|
Zestaw szyfrów |
Klawisz negotiation/generation protokół |
|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH secp256r1 (równ. 3072 bity RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH secp256r1 (równ. 3072 bity RSA)
|
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
ECDH secp256r1 (równ. 3072 bity RSA)
|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH secp256r1 (równ. 3072 bity RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH secp256r1 (równ. 3072 bity RSA)
|
Szyfry szyfrujące AES_256_CBC i AES_128_CBC są obsługiwane w celu zachowania zgodności ze starszymi systemami, starszymi przeglądarkami i urządzeniami wbudowanymi, które nie obsługują nowoczesnych szyfrów AEAD (szyfrowanie uwierzytelnione z powiązanymi danymi), takich jak AES-GCM, np. Internet Explorer 11 w systemie Windows 7 i Windows 8.1, Safari 6/7/8 Wczesne wersje systemów iOS i MacOS korzystają z szyfrów bazujących na CBC.
CHACHA20_POLY1305 to szyfr strumieniowy o niskiej zależności od sprzętu, co czyni go lepszym szyfrem do stosowania w urządzeniach mobilnych lub urządzeniach z procesorami o niskim poborze mocy.
Kryptografia bezpieczna postkwantowa
Kryptografia postkwantowa (PQC) to przyszłościowe rozwiązanie, które działa jako proaktywna tarcza przeciwko atakom Harvest Now Decrypt Later (HNDL) na dane przesyłane obecnie.
HNDL opiera się na założeniu, że współczesne szyfrowanie asymetryczne (takie jak RSA i Diffie-Hellman) jest podatne na ataki przyszłych komputerów kwantowych. Atakujący „zbierają” teraz ten ruch, wiedząc, że nie mogą go jeszcze odczytać, ale liczą na to, że za 10 lat będą mieli narzędzia, które pozwolą im go odblokować.
PQC wdraża matematyczną „blokadę” wrażliwych danych. PQC wykorzystuje matematykę opartą na sieci lub skrótach, która jest odporna zarówno na algorytmy klasyczne, jak i kwantowe. Nawet jeśli atakujący zbierze dziś zaszyfrowane dane PQC, dla niego pozostaną one na zawsze „czarną skrzynką”, ponieważ nawet przyszły komputer kwantowy nie będzie dysponował algorytmem umożliwiającym ich złamanie.
Większość ataków HNDL ma na celu wymianę kluczy (proces, w którym dwie strony uzgadniają klucz tajny). Jeśli atakujący przechwyci wymianę kluczy dzisiaj, korzystając ze starszych metod, będzie mógł później uzyskać klucze sesji i odszyfrować całą konwersację.
Protokoły Webex TLS i MLS obsługują mechanizmy ML-KEM (Post-Quantum Key Encapsulation Mechanisms). Dzięki temu mamy pewność, że pierwsze „uściśnięcie dłoni” między użytkownikiem a chmurą Webex będzie odporne na ataki kwantowe. Jeśli wymiana kluczy jest zabezpieczona przed atakami kwantowymi, reszta zaszyfrowanej sesji pozostaje zabezpieczona przed wstecznym odszyfrowaniem.
Webex TLS z obsługą PQC
Chmura Webex obsługuje ECDH-SecP256r1-MLKEM768 w celu hermetyzacji kluczy w ramach szyfrów TLS 1.3. Ten hybrydowy mechanizm uzgadniania kluczy integruje klasyczną wymianę kluczy (ECDH przez SecP256r1) z odporną na ataki kwantowe hermetyzacją klucza (ML-KEM-768). To hybrydowe podejście zapewnia bezpieczeństwo postkwantowe przy jednoczesnym zachowaniu wstecznej kompatybilności, umożliwiając powrót do klasycznego ECDH, jeśli klient TLS 1.3 nie obsługuje ML-KEM.
Wykorzystanie protokołu TLS 1.3 z mechanizmami kapsułkowania klucza post-kwantowego (PQ-KEM) zależy od systemu operacyjnego łączącego się klienta. Obsługiwane systemy obejmują Windows 11, macOS 14.4 (Sonoma), Linus (OpenSSL 3.5+), iOS 26 i Android 17.
Webex MLS ze wsparciem PQC
Protokół Messaging Layer Security (MLS) ( RFC 9420) to znormalizowany przez IETF, wysoce wydajny framework przeznaczony do bezpiecznego szyfrowania typu end-to-end w komunikacji grupowej. Webex integruje ECDH-SecP256r1-MLKEM768 z systemem MLS, aby zapewnić odporne na ataki kwantowe uzgodnienia kluczy na potrzeby kompleksowo szyfrowanych spotkań w standardzie Zero Trust.
Wdrożenie PQC na poziomie warstwy MLS zapewnia istotną zaletę „głębokiej obrony” — chroni materiały multimedialne i treści spotkań przed atakami typu Harvest Now, Decrypt Later (HNDL). Nawet jeśli urządzenie łączące się nie obsługuje protokołu PQC na poziomie systemu operacyjnego — co potencjalnie naraża warstwę transportową TLS na ryzyko — podstawowa treść spotkania pozostaje bezpieczna i nie może zostać odszyfrowana przez przyszłe zasoby obliczeń kwantowych.
Zaszyfrowane media Webex
Standardy szyfrowania multimediów dla Webex
Spotkania i rozmowy telefoniczne za pośrednictwem Webex wykorzystują solidne szyfrowanie oparte na standardzie AES dla wszystkich pakietów multimedialnych. Konkretny zestaw szyfrów zależy od typu punktu końcowego, przy czym AES-256-GCM jest preferowanym standardem zapewniającym optymalne bezpieczeństwo.
|
Typ punktu końcowego |
Obsługiwane szyfry |
|---|---|
|
Aplikacja Webex i urządzenia RoomOS |
AES-256-GCM |
|
Strona trzecia SIP/H.323 urządzenia |
AES-256-GCM AES-128-GCM AES-CM-128-HMAC-SHA1 |
Kluczowe zagadnienia bezpieczeństwa
- Preferowany standard— AES-256-GCM to zalecany szyfr dla wszystkich wdrożeń, zapewniający najwyższy poziom integralności i poufności danych.
- Interoperacyjność— Chociaż Webex utrzymuje obsługę starszych szyfrów (takich jak AES-CM-128-HMAC-SHA1) w celu zapewnienia interoperacyjności z systemami SIP i H.323 innych firm, organizacje, dla których priorytetem jest architektura zero-trust, powinny egzekwować szyfrowanie AES-256-GCM, jeśli pozwala na to kompatybilność urządzeń.
Protokoły transportu multimediów
Webex obsługuje transport multimediów za pomocą protokołów UDP, TCP lub TLS. Aby zapewnić optymalną wydajność transmisji głosu i obrazu, firma Cisco zdecydowanie zaleca użycie protokołu UDP.
Zagadnienia dotyczące wydajności:
- Wydajność w czasie rzeczywistym— UDP jest preferowanym sposobem transportu dla mediów w czasie rzeczywistym, ponieważ minimalizuje opóźnienia i drgania poprzez unikanie mechanizmów retransmisji i buforowania, które są nieodłączną częścią protokołów zorientowanych na połączenie.
- Wpływ TCP/TLS—Chociaż protokoły TCP i TLS zapewniają niezawodną, uporządkowaną dostawę danych, takie zachowanie jest nieproduktywne w przypadku multimediów w czasie rzeczywistym. W rezultacie retransmisje pakietów i buforowanie strumienia powodują opóźnienia i drgania, które mogą znacząco obniżyć jakość wrażeń uczestników
Webex wykorzystuje SRTP i SFrame do multimediów
Aby zachować wysokie standardy bezpieczeństwa wymagane w środowiskach WebexZero Trust, ważne jest rozróżnienie między zabezpieczeniami na poziomie transportu (SRTP) a kompleksowym szyfrowaniem na warstwie aplikacji (SFrame).
|
Funkcja |
SRTP (bezpieczny RTP) |
SFrame (bezpieczna ramka) |
|---|---|---|
|
Główny cel |
Bezpieczny transport mediów |
Szyfrowanie typu end-to-end (E2EE) |
|
Warstwa |
Warstwa transportowa |
Application/Payload Warstwa |
|
Widoczność |
Szyfruje ładunek RTP; nagłówki są często widoczne |
Szyfruje ramkę multimedialną przed transportem |
|
Zarządzanie kluczami |
DTLS-SRTP |
Oddzielony (protokół MLS) |
|
Serwer multimediów / Interakcja z bramą multimedialną (SFU) |
SFU decrypts/re-encrypts |
SFU jest „ślepy” (nie można go odszyfrować) |
Kluczowe różnice techniczne — SRTP & SFrame
- SRTP (bezpieczny protokół transportu w czasie rzeczywistym)
SRTP to branżowy standard zabezpieczania strumieni multimedialnych w trakcie przesyłu.
- Zakres— zapewnia poufność, uwierzytelnianie wiadomości i ochronę przed powtórzeniem dla ładunku RTP.
- Kontekst operacyjny— W wielu architekturach serwer multimediów/brama multimediów (selektywna jednostka przekierowująca (SFU)) kończy połączenie SRTP w celu wykonania przetwarzania multimediów (na przykład miksowania, kompozycji układu lub transkodowania). Ponieważ SFU odszyfrowuje media w celu ich przetworzenia, media są technicznie podatne na ataki w punkcie SFU.
- SFrame (bezpieczna ramka)
SFrame jest standardem IETF. RFC 9605 został opracowany specjalnie w celu ułatwienia prawdziwego szyfrowania typu end-to-end w środowisku konferencji wielostronnych.
- Zakres— Szyfruje ramki multimedialne w pakietach przed ich kapsułkowaniem w pakiety RTP. Webex dodaje dodatkową warstwę szyfrowania z wykorzystaniem protokołu SRTP.
- Architektura Zero Trust— Ponieważ media są szyfrowane na poziomie aplikacji, SFU działa jedynie jako „ślepy” przekaźnik. Przesyła zaszyfrowane pakiety do innych uczestników, nie mając dostępu do kluczy deszyfrujących.
- Niezależność—SFrame jest niezależny od transportu. Pozostaje bezpieczny nawet jeśli transport bazowy (UDP/TCP/TLS) jest zagrożony, gdyż kontekst bezpieczeństwa jest powiązany z punktami końcowymi uczestników, a nie z połączeniem transportowym.
SFrame to kluczowy mechanizm umożliwiający E2EE. Podczas gdy SRTP zapewnia szyfrowanie danych w trakcie przesyłania ich przez sieć, SFrame gwarantuje, że dane multimedialne pozostaną zaszyfrowane przez cały cykl życia spotkania, również wtedy, gdy znajdują się one w infrastrukturze Cisco (SFU), skutecznie usuwając dostawcę usług z granicy zaufania.
Szyfrowanie danych w spoczynku: Webex Meetings
Dane w spoczynku w ramach spotkań Webex można podzielić na dwie odrębne kategorie, z których każda ma własny profil bezpieczeństwa:
- Treść spotkań Webex
- Metadane spotkań Webex
Treść spotkań Webex
Treść spotkania składa się z danych utworzonych przez uczestników lub wygenerowanych przez usługi Webex w imieniu organizatora spotkania. Obejmuje to:
- Treści związane z mediami— nagrania, transkrypcje, podsumowania i elementy działań.
- Dane współpracy— Wiadomości czatu, shared/transferred pliki, tablice i adnotacje.
Bezpieczeństwo treści spotkań Webex — kompleksowe szyfrowanie Webex
Webex zabezpiecza treści spotkań generowane przez uczestników, wykorzystując solidną technologię szyfrowania typu end-to-end (E2EE). Centralnym elementem tej architektury jest usługa Webex Key Management Service (KMS), która odpowiada za generowanie, dystrybucję i zarządzanie kluczami szyfrującymi dla wszystkich treści generowanych przez użytkowników.
Warstwy bezpieczeństwa treści spotkań
- Dane w tranzycie— Aplikacja Webex i urządzenia wideo Cisco wykorzystują kompleksowe szyfrowanie Webex (E2EE) z algorytmem AES-256-GCM do szyfrowania treści spotkań generowanych przez użytkowników, takich jak pliki nagrań, pliki podsumowań AI, wiadomości czatu itp. Rozwiązanie to jest dodatkowo objęte protokołem Transport Layer Security (TLS), zapewniając dwuwarstwową ochronę podczas transmisji.
- Dane w spoczynku— Po zapisaniu w chmurze Webex zaszyfrowana treść jest dodatkowo chroniona za pomocą szyfrowania dysku AES-256-GCM.
- Profil ochrony— To podejście chroni zawartość przed przechwyceniem protokołu TLS podczas przesyłania i gwarantuje, że przechowywane dane pozostaną niedostępne dla nieautoryzowanych podmiotów w środowisku chmurowym.
Kompleksowe szyfrowanie Webex z zarządzanym dostępem do treści dla usług podstawowych
W przeciwieństwie do kompleksowego szyfrowania Zero Trust, w którym Webex nie ma dostępu do kluczy szyfrowania multimediów ani treści, kompleksowe szyfrowanie Webex pozwala platformie wykorzystać klucze wygenerowane przez Webex KMS do odszyfrowywania danych w ramach podstawowych usług. Ten zarządzany dostęp umożliwia:
- Wyszukiwanie i indeksowanie— umożliwia użytkownikom przeszukiwanie historii treści.
- Zgodność i zarządzanie— umożliwia zapobieganie utracie danych (DLP), elektroniczne ujawnianie informacji i archiwizację danych.
- Optymalizacja multimediów— obsługuje transkodowanie plików w celu zapewnienia kompatybilności między urządzeniami.
- Bezpieczeństwo— Ułatwia skanowanie w poszukiwaniu złośliwego oprogramowania przy użyciu pakietu Extended Security Pack.
Metadane spotkań Webex
Metadane spotkań składają się z informacji administracyjnych i technicznych generowanych przez system w celu ułatwienia, śledzenia i zarządzania spotkaniami, a nie z faktycznej zawartości (dźwięku, obrazu lub udostępnianych plików) samego spotkania. Metadane można podzielić na kilka kategorii:
- Informacje o sesji— tytuł spotkania, identyfikator spotkania, planowane godziny rozpoczęcia i zakończenia oraz rzeczywisty czas trwania spotkania.
- Dane uczestników— lista zaproszonych osób i faktycznych uczestników, ich adresy IP, typy urządzeń (takie jak Windows, iPhone, Cisco Room Kit) oraz ich join/leave znaczniki czasu.
- Metryki użytkowania i jakości— dane używane do rozwiązywania problemów, takie jak utrata pakietów, drgania, opóźnienie i rozdzielczość strumienia wideo.
Jak wykorzystywane są metadane
- Analityka i raportowanie— Administratorzy korzystają z metadanych w WebexControl Hub, aby sprawdzać, ile odbywa się spotkań, które działy są najbardziej aktywne i jaka jest ogólna jakość doświadczenia.
- Rozwiązywanie problemów— Cisco TAC (Centrum Pomocy Technicznej) używa metadanych do identyfikowania i rozwiązywania problemów podczas spotkań.
- Zgodność i elektroniczne ujawnianie informacji— Specjaliści ds. zgodności mogą przeszukiwać metadane, aby udowodnić, że odbyło się spotkanie, kto w nim uczestniczył i czy zostało ono nagrane, nawet jeśli nie mogą zobaczyć zaszyfrowanej treści spotkania.
- Bezpieczeństwo— Metadane pomagają identyfikować próby nieautoryzowanego dostępu lub nietypowe wzorce, które mogą wskazywać na zagrożenie bezpieczeństwa.
Bezpieczeństwo i prywatność metadanych
- Szyfrowanie— Choć metadane nie są „szyfrowane metodą end-to-end”, są szyfrowane podczas przesyłania (za pomocą protokołu TLS) i przechowywania w bezpiecznych centrach danych Cisco.
- Kontrola dostępu— zasady ochrony prywatności firmy Cisco ściśle ograniczają dostęp osób, które mogą uzyskać dostęp do tych metadanych. Są one wykorzystywane do świadczenia i ulepszania usługi.
Aby uzyskać więcej informacji na temat treści i metadanych spotkań Webex, zapoznaj się z dokumentem Informacje o ofercie spotkań Webex.
Typy sesji spotkań Webex
Typy sesji Webex Meetings to konfiguracje lub szablony definiujące funkcje i opcje dostępne dla spotkań zaplanowanych w witrynie Webex. Tego typu sesje mogą być standardowe lub dostosowane przez administratorów witryny w celu włączania lub wyłączania określonych funkcji dla użytkowników. Taka elastyczność pozwala organizacjom dostosowywać spotkania do swoich wymagań bezpieczeństwa i potrzeb użytkowników. Aby uzyskać więcej informacji, zobacz Zarządzanie typami sesji w Control Hub. 
Przypisywanie użytkownikom typów sesji spotkań
Administratorzy Webex Control Hub mogą przypisać jeden lub więcej typów spotkań, z których użytkownicy mogą korzystać podczas zaplanowanych spotkań. Domyślnie wszystkim użytkownikom przypisywane są typy spotkań: Pro Meeting i Pro-End to End Encryption_VoIPonly.
Zaplanuj spotkanie — wybierz typ spotkania
Użytkownicy mogą wybrać typ spotkania, z którego chcą skorzystać, planując spotkanie w aplikacji Webex, na stronie użytkownika Webex i w dodatku Webex Email Add-In dla programu Microsoft Outlook.
Zaplanuj spotkanie — wybierz typ spotkania w aplikacji Webex
Zaplanuj spotkanie — wybierz typ spotkania na stronie użytkownika Webex
Ustaw domyślny typ spotkania
Użytkownicy mogą ustawić domyślny typ spotkania w na stronie użytkownika Webex.
Domyślny typ spotkania dotyczy zarówno spotkań zaplanowanych, jak i spotkań w salach konferencyjnych.
Ustaw domyślny typ spotkania na stronie użytkownika Webex
Bezpieczeństwo zaplanowanych spotkań Webex i sal konferencyjnych Webex Personal
Zaplanowane spotkania Webex i osobiste pokoje spotkań Webex różnią się znacząco pod względem funkcji bezpieczeństwa i przeznaczenia.
Zaplanowane spotkania są przeznaczone do bezpiecznych, zaplanowanych sesji i oferują kompleksowy zestaw kontroli bezpieczeństwa, obejmujący ochronę hasłem, rejestrację uczestników, sprawdzanie lobby, wyłączanie opcji dołącz przed gospodarzem oraz unikalne adresy URL spotkań dla każdej sesji. Funkcje te pomagają zagwarantować, że do spotkania mogą dołączyć wyłącznie autoryzowani uczestnicy, a organizatorzy zachowują kontrolę nad środowiskiem spotkania.
Natomiast osobiste pokoje spotkań zapewniają stały adres URL umożliwiający szybkie, nieformalne spotkania z zaufanymi uczestnikami. Zawierają podstawowe funkcje bezpieczeństwa, takie jak kontrola lobby, ręczne lub automatyczne blokowanie oraz CAPTCHA zapobiegająca zautomatyzowanym atakom. Ponieważ jednak adres URL Pokoju osobistego jest stały, może stwarzać większe zagrożenie bezpieczeństwa, jeśli będzie szeroko udostępniany.
W przypadku spotkań wymagających rygorystycznych środków bezpieczeństwa zaleca się spotkania zaplanowane, natomiast prywatne sale konferencyjne lepiej sprawdzają się w przypadku zaufanych grup, dla których łatwość dostępu jest ważniejsza niż ścisłe kontrole bezpieczeństwa.
Administratorzy Control Hub mogą skonfigurować usługę Webex Personal Room Meetings wyłącznie do użytku podczas spotkań wewnętrznych.
Ustawienia zabezpieczeń spotkań dla administratorów
Control Hub oferuje kompleksowy zestaw funkcji zabezpieczających dla zaplanowanych spotkań Webex, umożliwiając administratorom dostosowanie dostępu do spotkań i zarządzania uczestnikami do zasad obowiązujących w danej organizacji. Do elementów sterujących zalicza się:
- Ustawienia poczekalni spotkań — skonfiguruj zachowanie poczekalni dla gości i niezweryfikowanych użytkowników, w tym opcje umożliwiające gościom bezpośrednie dołączenie, oczekiwanie w poczekalni lub zablokowanie im możliwości dołączenia.
- Kategorie grup lobby dla użytkowników wewnętrznych, zewnętrznych i niezweryfikowanych (gości).
- Etykiety uczestników — nazwy domen uczestników wewnętrznych and/or uczestnicy zewnętrzni, etykieta Niezweryfikowany dla nieuwierzytelnionych uczestników (gości).
- Funkcja automatycznego wstępu na spotkanie — umożliwia uwierzytelnionym, zaproszonym użytkownikom i pokojom dołączanie do spotkań lub ich rozpoczynanie bez interwencji organizatora, podczas gdy niezaproszeni użytkownicy czekają w poczekalni lub są blokowani.
- Automatyczne blokowanie spotkań — automatyczne blokowanie spotkań po upływie określonej liczby minut (0, 5, 10, 15 lub 20) od czasu ich rozpoczęcia w celu uniemożliwienia późnego dołączenia.
- Zachowanie blokady spotkania — zdefiniuj, co się stanie, gdy spotkanie zostanie zablokowane — czy uczestnicy będą czekać w poczekalni, czy nie będą mogli dołączyć.
- Wymuszaj hasła do spotkań — wymagaj podawania haseł przez uczestników dołączających do spotkań za pośrednictwem telefonów lub systemów wideokonferencyjnych. Do zaproszeń będą dodawane generowane przez system hasła numeryczne.
- Ustaw konkretne wymagania dotyczące długości i złożoności hasła na spotkaniu.
- Ukryj łącze do spotkania przed uczestnikami — Uniemożliw uczestnikom łatwe kopiowanie i udostępnianie łączy do spotkań w trakcie spotkania, aby ograniczyć liczbę nieautoryzowanym dostępem.
- Wyłącz kamery wirtualne — użytkownicy systemu macOS powinni wyłączyć kamery wirtualne innych firm, aby zwiększyć bezpieczeństwo poprzez ograniczenie dostępu do kamery wyłącznie do usługi Webex.
- Spotkanie z funkcją znakowania wodnego — włącz znakowanie wodne plików audio i wideo, aby zidentyfikować źródło nagrań lub zrzutów ekranu, co ułatwia wykrywanie wycieków danych.
- Kontrola dostępu oparta na domenie dla spotkań zewnętrznych i wewnętrznych — Kontroluj, czy użytkownicy mogą dołączać do spotkań zewnętrznych i nie zezwalaj użytkownikom zewnętrznym na dołączanie do spotkań wewnętrznych.
- Szablony dla grup użytkowników — stosuj ustawienia funkcji spotkań do grup użytkowników lub poszczególnych użytkowników za pomocą szablonów.
Aby uzyskać więcej informacji, zobacz:
Sprawdzone procedury Webex dotyczące bezpiecznych spotkań: Control Hub
Aplikacja Webex | Informacje o lobby w Webex Meetings
Dostosuj etykiety uczestników wyświetlane w spotkaniach Webex
Kontrola udostępniania treści spotkań dla administratorów
Dzięki Control Hub administratorzy mogą kontrolować sposób udostępniania treści, takich jak nagrania, podsumowania, elementy działań itp., w trakcie i po spotkaniu, a także decydować o tym, jak długo treść spotkania będzie przechowywana w chmurze Webex przed jej automatycznym usunięciem.
Kontrola treści
Polityka przechowywania treści spotkań
Organizator spotkania ma pełną kontrolę nad sposobem jego organizacji i powinien upewnić się, że do spotkania dołączą wyłącznie zaproszeni goście. Ponadto organizator powinien przestrzegać zasad bezpieczeństwa obowiązujących w organizacji przy planowaniu spotkań. Aby dowiedzieć się, jak zadbać o bezpieczeństwo spotkań Webex jako gospodarz, zapoznaj się z artykułem Najlepsze praktyki Webex dotyczące bezpiecznych spotkań: Gospodarze.
W zależności od zasad bezpieczeństwa niektóre organizacje mogą całkowicie blokować użytkownikom możliwość dołączania do spotkań zewnętrznych lub zezwalać im na dołączanie do spotkań wyłącznie z listy zatwierdzonych witryn zewnętrznych. Ponadto organizacje mogą ograniczyć użytkownikom korzystanie z niektórych funkcji spotkań, takich jak czat, przesyłanie plików, adnotacje, Q & A i ankieta podczas dołączania do spotkania zewnętrznego. Ograniczenia współpracy Webex mogą zapewnić następujące funkcje. Aby uzyskać więcej szczegółów, zobacz Ograniczenia współpracy dla spotkań Webex w Control Hub.
Kontrola bezpieczeństwa dla organizatorów spotkań Webex
Organizatorzy spotkań Webex odgrywają kluczową rolę w utrzymaniu bezpieczeństwa i integralności spotkań wirtualnych. Uczestnicy mają do dyspozycji kompleksowy zestaw narzędzi kontrolnych, które pozwalają zarządzać dostępem uczestników, weryfikować ich tożsamość i chronić treść spotkań:
- Kontrola lobby spotkań — organizatorzy mogą przyjmować i usuwać uczestników oczekujących w lobby, które grupuje użytkowników jako gości wewnętrznych, zewnętrznych lub niezweryfikowanych. Pozwala to na weryfikację uczestników przed wejściem.
- Blokowanie spotkania — organizatorzy mogą ręcznie zablokować lub odblokować spotkanie, aby uniemożliwić dołączenie do niego nowym uczestnikom po jego rozpoczęciu. Spotkania można również ustawić tak, aby blokowały się automatycznie po upływie określonego czasu (0, 5, 10, 15 lub 20 minut).
- Ochrona hasłem — zaplanowane spotkania są domyślnie chronione hasłem. Organizatorzy mogą egzekwować od uczestników dołączających do spotkań za pośrednictwem telefonu lub systemów wideokonferencji podawanie haseł.
- Funkcja automatycznego przyjmowania — organizatorzy mogą zezwolić uwierzytelnionym, zaproszonym użytkownikom i pokojom na dołączanie do spotkań lub ich rozpoczynanie bez interwencji organizatora, podczas gdy niezaproszeni użytkownicy czekają w poczekalni lub są blokowani.
- Zarządzanie uczestnikami — organizatorzy mogą w dowolnym momencie spotkania wykluczać uczestników, aby pozbyć się niepożądanych osób.
- Kontrola „Dołącz przed gospodarzem” — gospodarze mogą włączyć lub wyłączyć opcję umożliwiającą uczestnikom dołączenie do spotkania przed przybyciem gospodarza. Zaleca się wyłączenie tej opcji ze względów bezpieczeństwa.
- Kontrola wyciszenia — gospodarze mogą wyciszać lub włączać wyciszenie uczestników, a także kontrolować, czy uczestnicy mogą włączać wyciszenie sami, aby ograniczyć zakłócenia.
- Dźwięki wejścia i wyjścia — organizatorzy mogą włączyć powiadomienia dźwiękowe, gdy uczestnicy dołączają do spotkania lub je opuszczają, aby monitorować frekwencję.
- Znakowanie wodne — organizatorzy mogą włączyć znakowanie wodne plików audio i wideo, aby zidentyfikować źródło nagrań lub zrzutów ekranu, co pomaga zapobiegać wyciekom danych.
- Weryfikacja tożsamości — organizatorzy mogą poprosić uczestników o włączenie wideo lub podanie swojego imienia i nazwiska w celu potwierdzenia tożsamości i zatwierdzenia uczestników.
- Zakończ kontrolę spotkania — organizatorzy mogą zakończyć spotkanie dla wszystkich uczestników, aby mieć pewność, że sesja została całkowicie zamknięta.
Aby uzyskać więcej informacji, zobacz Najlepsze praktyki dotyczące bezpiecznych spotkań: gospodarze.
Opcje bezpieczeństwa dla organizatorów podczas planowania spotkania
Opcje bezpieczeństwa dla organizatorów podczas planowania spotkania
Zwalczanie nowych zagrożeń bezpieczeństwa – Deepfake User Imaging
Zagrożenia typu deepfake w spotkaniach Webex stanowią poważne wyzwanie dla bezpieczeństwa. W przypadku deepfake’ów stosuje się sztuczną inteligencję, aby tworzyć niezwykle realistyczne, ale fałszywe treści audio i wideo, które mogą podszywać się pod prawdziwych uczestników spotkań. W kontekście spotkań Webex może to umożliwić osobom o złych zamiarach podszywanie się pod zaufane osoby, manipulowanie treścią spotkań lub przeprowadzanie ataków socjotechnicznych, co może potencjalnie prowadzić do nieautoryzowanego dostępu, naruszenia danych lub oszustwa.
Webex zawiera wiele mechanizmów kontroli bezpieczeństwa, które pomagają ograniczyć ryzyko związane z nieautoryzowanym dostępem i podszywaniem się. Należą do nich m.in. kontrola lobby spotkania w celu weryfikacji uczestników przed wejściem, funkcje blokowania spotkania w celu uniemożliwienia późnego dołączenia, wymuszona ochrona hasłem, monity o weryfikację tożsamości uczestników oraz znakowanie wodne dźwięku i obrazu w celu ustalenia źródła nagrań lub zrzutów ekranu. W połączeniu z technologią Deepfake Detection i Deepfake Prevention środki te tworzą wielowarstwową ochronę, która zwiększa bezpieczeństwo spotkań przed deepfake i innymi zaawansowanymi zagrożeniami, pomagając organizacjom chronić poufne informacje i utrzymywać zaufanie do środowiska wirtualnej współpracy.
Wykrywanie deepfake'ów
Cisco nawiązało współpracę z GetReel i Pindrop w celu zintegrowania zaawansowanych technologii wykrywania deepfake opartych na sztucznej inteligencji i uwierzytelniania głosowego z pakietem Webex Suite. Taka integracja umożliwia wykrywanie i blokowanie syntetycznego dźwięku i obrazu w czasie rzeczywistym podczas spotkań, bez konieczności stosowania dodatkowego sprzętu. Rozwiązanie to wykorzystuje wieloczynnikową analizę ryzyka, obejmującą biometrię głosu, analizę urządzeń i zachowań oraz globalne informacje o oszustwach, aby pasywnie uwierzytelniać uczestników i z dużą dokładnością identyfikować próby deepfake'ów. Ciągła analiza w tle pomaga chronić spotkania przed oszustwami wykorzystującymi sztuczną inteligencję, zapewniając jednocześnie płynne działanie użytkownikom.
Zapobieganie deepfake’om: Certyfikaty tożsamości dostarczone przez klienta
Zero Trust – kompleksowa ochrona tożsamości i zapobieganie deepfake’om
Certyfikaty tożsamości użytkowników końcowych dostarczane przez klientów stanowią podstawę zapobiegania podszywaniu się pod inne osoby podczas szyfrowanych spotkań Webex (E2EE). W przeciwieństwie do tradycyjnych mechanizmów blokujących materiały deepfake, które opierają się na analizie strumieni audio i wideo, to podejście zapewnia kryptograficzną weryfikację tożsamości w momencie przyjęcia. Zweryfikowany status jest wyświetlany bezpośrednio na liście uczestników spotkania, zapewniając przejrzystość wszystkim uczestnikom.
Firma Webex rozszerzyła obsługę certyfikatów zarządzanych przez klientów, która wcześniej była dostępna na urządzeniach RoomOS, na aplikację Webex w ramach naszej funkcji „Zapobieganie atakom deepfake”. Organizacje mogą tworzyć i zarządzać własnymi certyfikatami cyfrowymi wydawanymi przez zaufane zewnętrzne urzędy certyfikacji (CA) przy użyciu standardowych protokołów branżowych, takich jak ACME. Certyfikaty te, oparte na standardach X.509 i parach kluczy ECDSA P-256, zapewniają kryptograficzny dowód tożsamości uczestników podczas spotkań E2EE.
Kompleksowa weryfikacja tożsamości i protokół MLS
Protokół Messaging Layer Security (MLS) wykorzystuje standardowe certyfikaty X.509 do uwierzytelniania uczestników spotkań. Certyfikat to cyfrowo podpisane oświadczenie zaufanego urzędu certyfikacji, które weryfikuje tożsamość posiadacza klucza podpisującego. Uczestnicy uzyskują te certyfikaty na dwa podstawowe sposoby:
- Urządzenia zarządzane (certyfikaty dostarczone przez klienta)— W przypadku klientów stacjonarnych i mobilnych zarządzanych przez organizację na urządzeniu można zainstalować certyfikat tożsamości z zaufanego urzędu certyfikacji. Gdy użytkownik loguje się przy użyciu funkcji logowania jednokrotnego (SSO), aplikacja Webex pobiera ten certyfikat z magazynu zaufanych certyfikatów systemu operacyjnego, aby przedstawić zweryfikowaną tożsamość użytkownika. Proces ten jest również obsługiwany w przypadku urządzeń wideo Cisco zarejestrowanych w chmurze Webex.
- Domyślne (certyfikaty dostarczone przez Webex)— Jeśli nie jest dostępny żaden certyfikat dostarczony przez klienta, klient lub urządzenie Webex automatycznie używa certyfikatu wydanego przez Urząd Certyfikacji Webex, który odzwierciedla tożsamość zweryfikowaną przez Cisco.
Współdzielenie tożsamości i mechanizm awaryjny
Podczas spotkania każdy uczestnik udostępnia wszystkim pozostałym uczestnikom swój certyfikat tożsamości Webex oraz, jeśli jest dostępny, swój certyfikat tożsamości dostarczony przez klienta. Aby zapewnić bezproblemową łączność, punkt końcowy Webex stosuje się do ścisłej hierarchii: priorytetowo traktuje certyfikat dostarczony przez klienta w celu weryfikacji; jeśli certyfikat jest brakujący lub nie przejdzie walidacji, system automatycznie powraca do certyfikatu tożsamości dostarczonego przez Webex.
Wyświetlanie statusu weryfikacji tożsamości użytkownika
Gdy uczestnicy dołączają do spotkania za pomocą aplikacji Webex lub urządzeń RoomOS z certyfikatami dostarczonymi przez klienta, ich tożsamość jest weryfikowana przez innych uczestników spotkania względem wystawiającego certyfikat CA. Dzięki temu mamy pewność, że rozpoznawani są wyłącznie autoryzowani użytkownicy, co uniemożliwia atakującym podszywanie się pod uprawnionych uczestników, ponieważ certyfikaty te są jednoznacznie powiązane ze zweryfikowanymi tożsamościami i nie mogą zostać sfałszowane przez firmę Cisco ani pośredników.
Lista uczestników spotkania szyfrowanego E2E wyświetla status weryfikacji tożsamości każdego użytkownika:
- Zero-Trust E2E Verified (
domain.com ) — gdy używany jest certyfikat tożsamości dostarczony przez klienta, domena uczestnika jest wyświetlana niebieskim tekstem. Oznacza to prawdziwą tożsamość zweryfikowaną w sposób E2E, której Cisco nie ma możliwości zmienić. Na przykład na liście spotkań możesz zobaczyć, że „Kevin” ma zweryfikowany adres e-mail z domeny example.com, w kolorze niebieskim. - Webex-Verified (
domain.com) — certyfikaty wydane przez urząd certyfikacji Webex zapewniają bardziej ograniczony poziom ochrony. Choć lepszym rozwiązaniem niż brak ochrony tożsamości jest brak ochrony, uczestnicy ci nie są oznaczani jako „zweryfikowani metodą Zero Trust E2E”. Zamiast tego status tożsamości jest wyświetlany w kolorze szarym, co oznacza, że tożsamość została zweryfikowana przez urząd certyfikacji Webex. - Niezweryfikowany użytkownik-gość (
(Niezweryfikowany) — Mimo że tożsamość uczestników-gości nie jest uwierzytelniana (ponieważ nie ma procesu logowania), nadal potrzebują oni certyfikatu, aby dołączyć do grupy MLS na rozmowę telefoniczną lub spotkanie. Ten certyfikat jest wydawany przez urząd certyfikacji Webex i używa nazwy użytkownika „anonymous”.
Ponadto kod bezpieczeństwa spotkania uzyskany na podstawie kryptograficznego stanu wszystkich uczestników pomaga wykrywać ataki typu person-in-the-middle, umożliwiając uczestnikom sprawdzenie, czy wszyscy korzystają z tego samego bezpiecznego kontekstu spotkania. Łącząc kryptograficzną weryfikację tożsamości z kompleksowym szyfrowaniem, funkcja „zapobiegania deepfake” oferuje solidną ochronę przed podszywaniem się i zagrożeniami związanymi z mediami syntetycznymi, chroniąc integralność i poufność spotkań w aplikacji Webex i urządzeniach RoomOS.
Zarządzanie wdrażaniem certyfikatów
Organizacje mogą uprościć wdrażanie i zarządzanie tymi dostarczanymi przez klientów certyfikatami tożsamości użytkowników końcowych, instalując je na urządzeniach zarządzanych przez firmę przy użyciu aplikacji Mobile Device Management (MDM), Mobile Application Management (MAM) lub Enterprise Mobility Management (EMM). Platformy zarządzania umożliwiają administratorom IT centralne udostępnianie, konfigurowanie i kontrolowanie certyfikatów oraz powiązanych z nimi zasad bezpieczeństwa w szerokiej gamie urządzeń, niezależnie od tego, czy są one własnością firmy, czy osób prywatnych. Na przykład usługa Microsoft Intune obsługuje funkcje MDM i MAM, które umożliwiają organizacjom wdrażanie i zarządzanie aplikacją Webex App oraz jej konfiguracjami zabezpieczeń, w tym certyfikatami tożsamości, na zarządzanych urządzeniach. Podobnie Cisco Meraki Systems Manager udostępnia funkcje MDM umożliwiające rejestrowanie urządzeń, przesyłanie profili konfiguracji i wdrażanie certyfikatów w celu zapewnienia zaufanego statusu urządzenia. Korzystanie z tych rozwiązań do zarządzania zmniejsza obciążenie administracyjne, upraszcza zarządzanie cyklem życia certyfikatów i zwiększa bezpieczeństwo spotkań Webex E2EE dzięki funkcjom zapobiegania deepfake.
Zarządzanie tożsamością Webex
Webex wykorzystuje architekturę Zero Trust — „nigdy nie ufaj, zawsze weryfikuj” — do zarządzania tożsamościami użytkowników. Wykorzystując standardowe protokoły branżowe (SAML 2.0, OIDC, OAuth 2.0 i SCIM 2.0), Webex zapewnia bezpieczną, skalowalną i zautomatyzowaną kontrolę dostępu. W tej sekcji opisano ramy techniczne integracji dostawców tożsamości (IdP) i utrzymywania bezpiecznego środowiska współpracy.
Trzy filary tożsamości
Skuteczne zarządzanie tożsamością i dostępem (IAM) w firmie Webex opiera się na:
- Provisioning (CRUD) — zarządzanie cyklami życia użytkowników (tworzenie, odczyt, aktualizacja, usuwanie) w celu zapewnienia, że „źródło prawdy” jest zgodne z platformą współpracy.
- Uwierzytelnianie (AuthN) — weryfikacja tożsamości użytkownika za pomocą bezpiecznych danych uwierzytelniających lub tokenów.
- Autoryzacja (AuthZ) — definiowanie szczegółowych uprawnień i poziomów dostępu do API po uwierzytelnieniu.
Aprowizacja & Zarządzanie cyklem życia
Webex obsługuje kilka metod synchronizacji użytkowników i grup:
- SCIM 2.0—Preferowany standard chmury. Automatyzuje cykl życia użytkownika, zapewniając, że wyłączenie dostawcy tożsamości automatycznie cofa dostęp do Webex.
- Directory Connector— narzędzie Cisco dla środowisk hybrydowych, łączące lokalną usługę Active Directory (AD) z chmurą Webex.
- API-Based Provisioning— wykorzystuje „People API” Webex do programowego tworzenia użytkowników i przypisywania licencji w złożonych środowiskach.
- Starszy protokół LDAP— obsługiwany w przypadku katalogów lokalnych (np. CUCM), choć mniej zoptymalizowany pod kątem nowoczesnego ruchu w chmurze.
Uwierzytelnianie & Ramy autoryzacji
- Uwierzytelnianie (AuthN):
- SAML 2.0— standard korporacyjny dla logowania jednokrotnego (SSO). Webex działa jako Dostawca Usług (SP), weryfikując potwierdzenia XML od korporacyjnego dostawcy tożsamości.
- OIDC (OpenID Connect)— Nowoczesna, lekka warstwa tożsamości oparta na OAuth 2.0 przy użyciu tokenów internetowych JSON (JWT). Obsługuje „adresy URL Discovery” umożliwiające automatyczną konfigurację.
- Autoryzacja (AuthZ):
- OAuth 2.0— zarządza dostępem do API za pomocą krótkotrwałych tokenów dostępu (definiujących zakresy) i długotrwałych tokenów odświeżania. Zapewnia bezpieczeństwo za pośrednictwem protokołu PKCE (Proof Key for Code Exchange) dla klientów publicznych.
Integracja & Strategie Multi-IdP
Webex udostępnia specjalistyczne ścieżki umożliwiające bezproblemową integrację:
- Kreator Entra ID— zalecana ścieżka dla środowisk Microsoft. Wykorzystuje interfejs API Microsoft Graph do zaawansowanej synchronizacji atrybutów (awatary, hierarchie) i automatyzuje OIDC/SAML konfiguracja.
- Duo Security— dodaje funkcję „Ciągłego bezpieczeństwa tożsamości” poprzez weryfikację postawy urządzenia i włączenie uwierzytelniania wieloskładnikowego odpornego na phishing.
Obsługa wielu dostawców tożsamości:Webex umożliwia organizacjom federację wielu niezależnych dostawców tożsamości w ramach jednego centrum sterowania.
- Przykłady zastosowań — fuzje, przejęcia lub zdecentralizowane działy IT.
- Trasowanie — żądania uwierzytelniania są kierowane na podstawie domen lub grup użytkowników.
- Rozważenie — wymaga ścisłej koordynacji w celu utrzymania spójnych zasad bezpieczeństwa we wszystkich źródłach federacyjnych.
Przykłady najczęstszych integracji tożsamości IdP z Webex:
|
Platforma dostawcy tożsamości |
Protokół SSO |
Wsparcie SCIM |
|---|---|---|
|
Identyfikator Microsoft Entra |
SAML 2.0, OIDC |
Tak |
|
Okta |
SAML 2.0, OIDC |
Tak |
|
PingFederate |
SAML 2.0, OIDC |
Tak |
|
Google Apps |
SAML 2.0 |
Nie (obsługiwane JIT) |
|
ADFS |
SAML 2.0 |
Nie |
Najlepsze praktyki i odporność
- Odzyskiwanie SSO — zawsze korzystaj z wbudowanego łącza „Odzyskiwanie SSO” w Control Hub, aby ominąć logowanie SSO za pomocą jednorazowego hasła (OTP), jeśli konfiguracja dostawcy tożsamości się nie powiedzie.
- Zarządzanie certyfikatami — monitorowanie wygasania certyfikatów SAML. Kreator SSO automatyzuje wymianę metadanych, redukując liczbę błędów popełnianych ręcznie.
- Rozwiązywanie problemów — użyj narzędzia SAML Tracer do inspekcji potwierdzeń XML i weryfikacji formatów NameID, jeśli wystąpią problemy z uwierzytelnianiem.
- Postawa bezpieczeństwa — regularnie wycofuj starsze typy uprawnień i upewnij się, że PKCE jest zaimplementowany dla wszystkich publicznych integracji klientów.
Wnioski — tożsamość spotkań Webex
Solidna strategia tożsamości to ciągły proces cyklu życia. Łącząc SCIM w celu zapewnienia, OIDC/SAML w przypadku uwierzytelniania i OAuth do autoryzacji, organizacje mogą zagwarantować użytkownikom bezpieczne i bezproblemowe działanie, zachowując jednocześnie ścisłą kontrolę administracyjną.
Model bezpieczeństwa Webex
Cisco w dalszym ciągu konsekwentnie dąży do utrzymania pozycji lidera w dziedzinie bezpieczeństwa w chmurze. Dział Bezpieczeństwa i Zaufania firmy Cisco współpracuje z zespołami w całej firmie, aby budować zabezpieczenia, zaufanie i przejrzystość w ramach struktury, która wspiera projektowanie, rozwój i eksploatację kluczowych infrastruktur, aby zapewnić najwyższy poziom bezpieczeństwa we wszystkim, co robimy.
Organizacja ta zajmuje się również dostarczaniem naszym klientom informacji niezbędnych do ograniczania i zarządzania ryzykiem cyberbezpieczeństwa.
Model bezpieczeństwa Webex (rysunek 8) opiera się na tym samym fundamencie bezpieczeństwa, który jest głęboko zakorzeniony w procesach Cisco.
Organizacja Webex konsekwentnie przestrzega podstawowych zasad bezpiecznego tworzenia, obsługi i monitorowania usług Webex. Niektóre z tych elementów omówimy w tym dokumencie.

Bezpieczeństwo i zaufanie Cisco
Cykl życia bezpiecznego rozwoju Cisco
W firmie Cisco bezpieczeństwo nie jest kwestią drugorzędną. Jest to zdyscyplinowane podejście do tworzenia i dostarczania światowej klasy produktów i usług od podstaw. Wszystkie zespoły ds. rozwoju produktów Cisco® są zobowiązane do przestrzegania zasad cyklu życia bezpiecznego rozwoju Cisco. Jest to powtarzalny i mierzalny proces mający na celu zwiększenie odporności i niezawodności produktów Cisco. Połączenie narzędzi, procesów i szkoleń podnoszących świadomość wdrażanych na wszystkich etapach cyklu rozwoju oprogramowania pomaga zapewnić głęboką obronę. Zapewnia również holistyczne podejście do kwestii odporności produktu. Zespół ds. rozwoju produktu Webex z pasją śledzi ten cykl życia w każdym aspekcie rozwoju produktu.
Dowiedz się więcej o Bezpiecznym cyklu rozwoju.
Podstawowe narzędzia bezpieczeństwa Cisco
Dział bezpieczeństwa i zaufania Cisco udostępnia proces i niezbędne narzędzia, które umożliwiają każdemu deweloperowi zajęcie spójnego stanowiska w obliczu decyzji związanych z bezpieczeństwem.
Posiadanie dedykowanych zespołów zajmujących się tworzeniem i udostępnianiem takich narzędzi eliminuje niepewność w procesie rozwoju produktu.
Przykłady narzędzi obejmują:
- Wymagania dotyczące podstawowego poziomu bezpieczeństwa produktu (PSB), które produkty muszą spełniać
- Narzędzia do tworzenia zagrożeń używane podczas modelowania zagrożeń
- Wytyczne dotyczące kodowania
- Zweryfikowane lub certyfikowane biblioteki, z których mogą korzystać programiści zamiast pisać własny kod bezpieczeństwa
- Narzędzia do testowania luk w zabezpieczeniach (do analizy statycznej i dynamicznej) używane po opracowaniu oprogramowania w celu sprawdzenia pod kątem luk w zabezpieczeniach
- Śledzenie oprogramowania, które monitoruje biblioteki Cisco i innych firm oraz powiadamia zespoły produktowe w przypadku zidentyfikowania luki w zabezpieczeniach
Struktura organizacyjna, która zapewnia bezpieczeństwo procesom Cisco
W Cisco istnieją specjalne działy odpowiedzialne za wdrażanie i zarządzanie procesami bezpieczeństwa w całej firmie. Aby być na bieżąco z zagrożeniami i wyzwaniami bezpieczeństwa, Cisco opiera się na:
- Zespół Cisco Information Security (InfoSec) Cloud
- Zespół reagowania na incydenty bezpieczeństwa produktów Cisco (PSIRT)
- Wspólna odpowiedzialność za bezpieczeństwo
Cisco InfoSec Cloud
Zespół ten, na którego czele stoi Dyrektor ds. Bezpieczeństwa w Chmurze, odpowiada za dostarczanie naszym klientom bezpiecznego środowiska Webex. Firma InfoSec realizuje to poprzez definiowanie i egzekwowanie procesów i narzędzi bezpieczeństwa dla wszystkich funkcji związanych z dostarczaniem rozwiązania Webex do naszych klientów.
Ponadto Cisco InfoSec Cloud współpracuje z innymi zespołami Cisco w celu reagowania na wszelkie zagrożenia bezpieczeństwa usługi Webex.
Cisco InfoSec odpowiada również za ciągłe doskonalenie bezpieczeństwa firmy Webex.
Zespół reagowania na incydenty bezpieczeństwa produktów Cisco (PSIRT)
Cisco PSIRT to wyspecjalizowany globalny zespół, który zajmuje się napływem, badaniem i zgłaszaniem problemów dotyczących bezpieczeństwa produktów i usług Cisco. W zależności od powagi problemu bezpieczeństwa, PSIRT korzysta z różnych mediów do publikowania informacji. Rodzaj raportowania zmienia się w zależności od następujących warunków:
- Istnieją poprawki oprogramowania lub obejścia mające na celu usunięcie luki w zabezpieczeniach lub planowane jest późniejsze publiczne ujawnienie poprawek kodu w celu usunięcia luk o wysokim stopniu zagrożenia
- PSIRT zaobserwował aktywne wykorzystywanie luki w zabezpieczeniach, która może narazić klientów Cisco na większe ryzyko. W tym przypadku PSIRT może przyspieszyć publikację komunikatu bezpieczeństwa opisującego lukę w zabezpieczeniach, jeśli nie będą dostępne pełne poprawki.
- Uświadomienie sobie przez opinię publiczną podatności na zagrożenia związane z produktami Cisco może skutkować większym ryzykiem dla klientów Cisco. PSIRT może również ostrzegać klientów, nawet gdy nie ma pełnej dostępności poprawek.
We wszystkich przypadkach PSIRT ujawnia minimalną ilość informacji, których użytkownicy końcowi będą potrzebować, aby ocenić wpływ luki w zabezpieczeniach i podjąć kroki niezbędne do ochrony swojego środowiska. Zespół PSIRT korzysta ze skali CVSS (Common Vulnerability Scoring System) w celu oceny stopnia zagrożenia ujawnionego problemu. PSIRT nie udostępnia szczegółów dotyczących luk w zabezpieczeniach, które mogłyby umożliwić komuś stworzenie exploita.
Więcej informacji na temat zespołu PSIRT można znaleźć w artykule Zespół reagowania na incydenty bezpieczeństwa produktów Cisco.
Odpowiedzialność za bezpieczeństwo
Mimo że za bezpieczeństwo odpowiada każda osoba w grupie Webex, główne zasady są następujące:
- Dyrektor ds. bezpieczeństwa, Cloud
- Wiceprezes i dyrektor generalny Cisco Cloud Collaboration Applications
- Wiceprezes ds. inżynierii, Cisco Cloud Collaboration Applications
- Wiceprezes ds. zarządzania produktami, Cisco Cloud Collaboration Applications
Testy penetracyjne wewnętrzne i zewnętrzne
Grupa Webex regularnie przeprowadza rygorystyczne testy penetracyjne, korzystając z usług wewnętrznych asesorów. Oprócz własnych rygorystycznych procedur wewnętrznych Cisco InfoSec współpracuje również z wieloma niezależnymi podmiotami zewnętrznymi, które przeprowadzają rygorystyczne audyty wewnętrznych polityk, procedur i aplikacji Cisco. Audyty te mają na celu sprawdzenie spełnienia wymagań bezpieczeństwa o znaczeniu krytycznym dla zastosowań komercyjnych i rządowych. Cisco korzysta również z usług zewnętrznych dostawców, którzy przeprowadzają ciągłe, dogłębne testy penetracyjne wspomagane kodem oraz oceny usług. W ramach współpracy podmiot zewnętrzny przeprowadza następujące oceny bezpieczeństwa:
- Identyfikacja krytycznych luk w aplikacjach i usługach oraz proponowanie rozwiązań
- Rekomendowanie ogólnych obszarów do poprawy architektury
- Identyfikowanie błędów kodowania i udzielanie wskazówek dotyczących udoskonalania praktyki kodowania
Niezależni asesorzy współpracują bezpośrednio z zespołem inżynierów Webex w celu wyjaśnienia ustaleń i zatwierdzenia działań naprawczych. Informacje na temat poświadczenia testu penetracyjnego można znaleźć w pakiecie poświadczeń zaufania Webex Meetings.
Bezpieczeństwo centrum danych Webex
Webex to rozwiązanie typu oprogramowanie jako usługa (SaaS) dostarczane za pośrednictwem Webex Cloud, niezwykle bezpiecznej platformy świadczenia usług o wiodącej w branży wydajności, integracji, elastyczności, skalowalności i dostępności. Webex Cloud to infrastruktura komunikacyjna stworzona specjalnie do komunikacji internetowej w czasie rzeczywistym.
Sesje spotkań Webex wykorzystują urządzenia przełączające zlokalizowane w wielu centrach danych na całym świecie. Większość usług Webex Cloud jest świadczona w centrach danych Cisco. Centra danych Amazon Web Services (AWS) i Microsoft Azure, zgodne ze standardami SOC2 i ISO, są również wykorzystywane do świadczenia dodatkowych usług w instancjach chmury prywatnej. Te centra danych są strategicznie rozmieszczone w pobliżu głównych punktów dostępu do Internetu i wykorzystują dedykowane światłowody o dużej przepustowości do kierowania ruchem na całym świecie.
Ponadto Cisco obsługuje lokalizacje punktów obecności (PoP) w sieci, które ułatwiają połączenia szkieletowe, peering internetowy, tworzenie globalnych kopii zapasowych witryn i technologie buforowania w celu zwiększenia wydajności i dostępności dla użytkowników końcowych.
Bezpieczeństwo fizyczne
Bezpieczeństwo fizyczne w centrum danych obejmuje monitoring wideo obiektów i budynków oraz obowiązkową dwuskładnikową identyfikację przy wejściu. W centrach danych Cisco dostęp kontrolowany jest za pomocą czytników identyfikatorów i kontroli biometrycznej. Ponadto elementy sterowania środowiskowego (na przykład czujniki temperatury i systemy przeciwpożarowe) oraz infrastruktura zapewniająca ciągłość działania usług (np. zasilanie awaryjne) pomagają zagwarantować nieprzerwaną pracę systemów.
Serwery centrów danych są podzielone na „strefy zaufania” na podstawie wrażliwości infrastruktury. Na przykład bazy danych są „zamykane w klatki”, infrastruktura sieciowa ma wydzielone pomieszczenia, a wszystkie stojaki ze sprzętem są zamykane na klucz. Do centrów danych mogą wchodzić wyłącznie pracownicy ochrony Cisco i upoważnieni goście pod opieką personelu Cisco.
Sieć produkcyjna Cisco jest siecią cieszącą się najwyższym zaufaniem: dostęp do sieci ma tylko nieliczne osoby obdarzone wysokim poziomem zaufania.
Infrastruktura i bezpieczeństwo platformy
Bezpieczeństwo platformy obejmuje bezpieczeństwo sieci, systemów i całego centrum danych Webex. Przed wdrożeniem produkcyjnym wszystkie systemy przechodzą dokładną kontrolę bezpieczeństwa i walidację akceptacji, a także regularne wzmacnianie zabezpieczeń, instalowanie poprawek bezpieczeństwa oraz skanowanie i ocenę podatności.
Serwery są wzmacniane zgodnie z Wytycznymi STIG (Security Technical Implementation Guidelines) opublikowanymi przez Narodowy Instytut Norm i Technologii (NIST). Zapory sieciowe chronią granice sieci. Listy kontroli dostępu (ACL) oddzielają różne strefy bezpieczeństwa. Wdrożono systemy wykrywania włamań (IDS), a wszystkie działania są podpisywane i monitorowane na bieżąco. Codziennie przeprowadzane są wewnętrzne i zewnętrzne skany bezpieczeństwa w Webex. Wszystkie systemy są wzmacniane i łatane w ramach regularnej konserwacji. Dodatkowo skanowanie i ocena podatności są przeprowadzane w sposób ciągły.
Ciągłość świadczenia usług i odzyskiwanie danych po awarii są kluczowymi elementami planowania bezpieczeństwa. Projekt centrów danych Cisco uwzględniający globalne kopie zapasowe lokalizacji i wysoką dostępność umożliwia geograficzne przełączanie awaryjne usług Webex. Nie ma pojedynczego punktu awarii.
Prywatność Webex
Webex traktuje ochronę danych klientów poważnie. Gromadzimy, wykorzystujemy i przetwarzamy informacje o klientach wyłącznie zgodnie z Oświadczeniem o ochronie prywatności Cisco i Informacjami o ofercie Webex Meetings.
Usługa została stworzona z myślą o ochronie prywatności i zaprojektowana tak, aby można było z niej korzystać w sposób zgodny z globalnymi wymogami dotyczącymi prywatności, w tym ogólnym rozporządzeniem o ochronie danych UE (RODO), kalifornijską ustawą o ochronie prywatności konsumentów (CCPA), kanadyjską ustawą o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA), ustawą o ochronie danych osobowych dotyczących zdrowia (PHIPA), ustawą o przenoszalności i odpowiedzialności w zakresie ubezpieczeń zdrowotnych (HIPAA) oraz ustawą o prawach edukacyjnych rodziny i prywatności (FERPA).
Dane administracyjne
Informacje o pracownikach lub przedstawicielach klienta lub innej strony trzeciej, które są gromadzone i wykorzystywane przez Cisco w celu administrowania lub zarządzania dostawą produktów lub usług Cisco albo w celu administrowania lub zarządzania kontem klienta lub strony trzeciej w celach biznesowych Cisco.
Dane administracyjne mogą obejmować imię i nazwisko, adres, numer telefonu, adres e-mail i informacje o zobowiązaniach umownych między firmą Cisco a stroną trzecią, niezależnie od tego, czy zostały zebrane w momencie początkowej rejestracji, czy później w związku z zarządzaniem lub administrowaniem produktami lub usługami firmy Cisco.
Dane administracyjne mogą również obejmować tytuł spotkania, godzinę i inne atrybuty spotkań prowadzonych w serwisie Webex przez pracowników lub przedstawicieli klienta. Inne przykłady danych administracyjnych mogą obejmować tytuł spotkania, godzinę spotkania i inne atrybuty spotkań organizowanych za pośrednictwem Webex.
Dane klienta
Obejmuje to wszystkie dane (w tym pliki tekstowe, audio, wideo, obrazy i nagrania), które są przekazywane firmie Cisco przez klienta w związku z korzystaniem przez niego z produktów lub usług Cisco lub które są opracowywane przez firmę Cisco na specjalne życzenie klienta zgodnie z oświadczeniem o pracach lub umową.
Dane klientów obejmują również pliki dziennika, konfiguracji lub oprogramowania sprzętowego, a także zrzuty pamięci.
Są to dane pobrane z produktu lub usługi i przekazane firmie Cisco, które pomagają nam rozwiązać problem związany z prośbą o pomoc techniczną. Dane klienta nie obejmują danych administracyjnych, danych pomocniczych ani danych telemetrycznych.
Dane pomocnicze
Informacje gromadzone przez firmę Cisco w momencie, gdy klient zgłasza prośbę o pomoc techniczną lub inny sposób rozwiązywania problemów, w tym informacje o sprzęcie i oprogramowaniu. Zawiera szczegóły dotyczące danego zdarzenia pomocy technicznej, takie jak informacje uwierzytelniające, informacje o stanie produktu, systemu, dane rejestru dotyczące instalacji oprogramowania i konfiguracji sprzętu oraz pliki śledzenia błędów. Dane dotyczące pomocy technicznej nie obejmują plików dziennika, konfiguracji ani oprogramowania sprzętowego, ani zrzutów pamięci produktu pobranych z serwera i przekazanych nam w celu ułatwienia rozwiązania problemu związanego z prośbą o pomoc techniczną – wszystkie te dane stanowią przykłady danych klienta.
Dane telemetryczne
Informacje generowane przez systemy pomiarowe i rejestrujące, tworzone w trakcie użytkowania i obsługi produktu lub usługi.
Wszystkie dane gromadzone w chmurze Webex są chronione kilkoma warstwami solidnych technologii i procesów bezpieczeństwa. Poniżej znajdują się przykłady kontroli umieszczonych na różnych warstwach operacji Webex w celu ochrony danych klientów:
- Kontrola dostępu fizycznego— Dostęp fizyczny jest kontrolowany za pomocą biometrii, odznak i monitoringu wideo. Dostęp do centrum danych wymaga uzyskania zezwolenia i jest zarządzany za pośrednictwem elektronicznego systemu biletowego.
- Kontrola dostępu do sieci— obwód sieci Webex jest chroniony przez zapory sieciowe. Każdy ruch sieciowy przychodzący do centrum danych Webex lub wychodzący z niego jest stale monitorowany za pomocą systemu wykrywania włamań (IDS). Sieć Webex jest również podzielona na oddzielne strefy bezpieczeństwa. Ruch między strefami kontrolowany jest przez zapory sieciowe i listy kontroli dostępu (ACL).
- Kontrola monitorowania i zarządzania infrastrukturą— Każdy komponent infrastruktury, w tym urządzenia sieciowe, serwery aplikacji i bazy danych, jest ściśle przestrzegany zgodnie z wytycznymi. Są one również regularnie skanowane w celu identyfikacji i rozwiązania wszelkich problemów związanych z bezpieczeństwem.
- Kontrole kryptograficzne— Jak wspomniano wcześniej, wszystkie dane przesyłane do i z centrum danych Webex do zarejestrowanych w chmurze aplikacji Webex i urządzeń Webex są szyfrowane, z wyjątkiem ruchu PSTN i niezaszyfrowanych danych. SIP/H323 urządzeń wideo na spotkaniu w chmurze. Ponadto krytyczne dane przechowywane w Webex, takie jak hasła, są szyfrowane.
Pracownicy Cisco nie mają dostępu do danych klientów, chyba że klient poprosi o dostęp w celu uzyskania wsparcia. Dostęp do systemów w tym przypadku dozwolony jest przez kierownika wyłącznie zgodnie z zasadą „podziału obowiązków”. Udziela się go wyłącznie osobom, którym wiedza jest niezbędna i zapewnia jedynie taki poziom dostępu, jaki jest konieczny do wykonania zadania. Dostęp pracowników do tych systemów jest regularnie sprawdzany pod kątem zgodności. Pracownicy mający taki dostęp są zobowiązani do wzięcia udziału w corocznym szkoleniu Międzynarodowej Organizacji Normalizacyjnej (ISO) 27001 w zakresie świadomości bezpieczeństwa informacji.
Oprócz tych specjalistycznych kontroli, każdy pracownik Cisco przechodzi weryfikację przeszłości, podpisuje umowę o zachowaniu poufności (NDA) i kończy szkolenie z zakresu Kodeksu postępowania biznesowego (COBC).
Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA)
Cisco może dostarczyć informacji dotyczących funkcjonalności, technologii i bezpieczeństwa rozwiązania Webex. Podmiot podlegający ustawie HIPAA musi skonsultować się z własnym doradcą prawnym, aby ustalić, czy funkcjonalność Webex jest zgodna z jego procesami biznesowymi i spełnia wymogi RODO.
Normy branżowe i certyfikaty
Oprócz przestrzegania naszych rygorystycznych standardów wewnętrznych, Webex stale poddaje się walidacji przeprowadzanej przez podmioty zewnętrzne, aby wykazać nasze zaangażowanie w zapewnianie bezpieczeństwa informacji. Webex to:
- Certyfikat ISO 27001, 27017, 27018 i 27701
- Kontrole organizacji usługowej (SOC) 2 typu II poddane audytowi
- Certyfikat SOC 3
- Kodeks postępowania w chmurze
- CSTAR
- Atestacja katalogu kontroli zgodności przetwarzania w chmurze (C5)
- Certyfikat FedRAMP (odwiedź cisco.com/go/fedramp aby uzyskać więcej szczegółów, zakresu i dostępności)
Usługa Webex z certyfikatem FedRAMP jest dostępna wyłącznie dla klientów z sektora rządowego i edukacyjnego w USA.
Aby uzyskać pełny zestaw dokumentów dotyczących bezpieczeństwa, prywatności i zgodności, w tym szczegółowe informacje na temat powyższych standardów i certyfikatów, zapoznaj się z Cisco Trust Portal.