- Domov
- /
- Článok
Úvod
Webex Meetings umožňuje globálnym zamestnancom a virtuálnym tímom spolupracovať v reálnom čase, premosťovať vzdialenosti a vytvárať bezproblémový zážitok „v miestnosti“. Organizácie od komerčných podnikov až po vládne agentúry sa spoliehajú na Webex pri zefektívnení obchodných procesov a dosahovaní lepších výsledkov v oblasti predaja, marketingu, školení, projektového riadenia a podporných funkcií.
Pre tieto organizácie nie je bezpečnosť len funkciou – je to základná požiadavka. Či už ide o plánovanie stretnutí, overovanie účastníkov alebo zdieľanie citlivých dokumentov, spolupráca musí byť chránená v každom bode kontaktu.
Spoločnosť Cisco posúva tento štandard vyššie s Ultra Secure Webex Meetings. Vďaka priamemu zabudovaniu architektúry Zero Trust do platformy spoločnosť Cisco zabezpečuje, že bezpečnosť je neoddeliteľnou súčasťou každej interakcie. Tento prístup zahŕňa:
- Zero Trust End-to-End Encryption (E2EE)– Pokročilé šifrovacie protokoly zabezpečujú, že obsah stretnutí zostane súkromný a neprístupný neoprávneným stranám vrátane samotnej spoločnosti Cisco.
- Zero Trust End-to-End Identity (E2EI)– Táto funkcia využíva certifikáty poskytnuté zákazníkom na overenie totožnosti účastníkov stretnutia, čím poskytuje robustnú ochranu pred neoprávneným prístupom a sofistikovanými deepfake útokmi.
Spoločnosť Cisco kladie dôraz na bezpečnosť ako na najvyššiu prioritu počas celého procesu návrhu, vývoja, nasadzovania a údržby svojich sietí, platforiem a aplikácií. Webex Meetings môžete začleniť do svojich obchodných procesov s absolútnou istotou, pretože viete, že vaše nástroje na spoluprácu sú navrhnuté tak, aby spĺňali aj tie najprísnejšie požiadavky na bezpečnosť a dodržiavanie predpisov.
Čo sa naučíte
Tento dokument popisuje bezpečnostné funkcie platformy pre stretnutia Webex Suite (WSMP). Rozoberá typy stretnutí, možnosti nasadenia, funkcie, nástroje, procesy a inžinierstvo, ktoré pomáhajú zákazníkom s istotou spolupracovať na platforme Webex.
Platforma pre stretnutia Webex Suite obsahuje:
- Webex Meetings
- Webex Webinars
- Webex Edge Audio
- Webex Cloud Connected Audio
- Webex Assistant
- Prieskum (od Slido)
Tieto produkty sú súčasťou zjednoteného balíka Webex Suite, ktorý integruje stretnutia, volania, posielanie správ, písanie na bielom tabuli a ďalšie funkcie, čím poskytuje bezproblémový zážitok zo spolupráce. Platforma podporuje kapacity od 2 do 1 000 účastníkov na stretnutí, až po 5 000 účastníkov webinárov a 100 000 divákov na webových vysielaniach, s pokročilými funkciami, ako je asistencia s využitím umelej inteligencie, preklad v reálnom čase a vylepšené bezpečnostné kontroly. Balík Webex Suite je k dispozícii prostredníctvom rôznych nákupných modelov vrátane predplatného Enterprise Agreement a Named User a ponúka ďalšie doplnky a integrácie, ktoré spĺňajú rôzne potreby organizácií.
Budúce funkcie
Niektoré funkcie uvedené v tomto dokumente by mali byť všeobecne dostupné neskôr v kalendárnom roku 2026. Funkcie označené symbolom
sú plánované na dodanie v 3. štvrťroku 2026. Funkcie označené symbolom 
sú plánované na dodanie v 1. štvrťroku 2027. Ak potrebujete skorý prístup k týmto funkciám, kontaktujte svojho správcu účtu.
Základné služby a komponenty Webex Meetings
- Webex Meetings je súčasťou balíka Webex Suite a poskytuje audio/video konferencie so zdieľaním obsahu a možnosťami webových konferencií.
- Platforma zahŕňa viacero mikroslužieb, ako napríklad službu stretnutí, službu webinárov, službu identity, službu nahrávania, službu AI Assistant, analytickú službu, administratívnu službu a mediálnu službu.
- Webex Meetings podporuje aplikácie a zariadenia registrované v cloude, čo umožňuje používateľom pripojiť sa k stretnutiam z rôznych operačných platforiem a zariadení. Používatelia sa môžu pripojiť k schôdzkam aj prostredníctvom PSTN a pomocou koncových bodov SIP.
Architektúra a nasadenie
- Služby Webex Meetings sú regionalizované a replikované vo viacerých nezávislých dátových centrách, aby sa zabezpečila redundancia a vysoká dostupnosť.
- Mediálne služby sú globálne distribuované s klastrami mediálnych serverov v každom dátovom centre, čo zabezpečuje lokálnu a geografickú redundanciu.
- Mediálne servery spracovávajú hlas, video a zdieľanie obsahu, pričom médiá sú bežne šifrované pomocou AES-256-GCM.
- Architektúra podporuje šifrovanú signalizáciu cez TLS/HTTPS a šifrované mediálne streamy.
Webex podporuje pripojenie k schôdzkam z viacerých platforiem a zariadení vrátane:
- Desktopová aplikácia Webex pre Windows, Mac a Linux.
- Mobilná aplikácia Webex pre Android a iOS.
- Webová aplikácia Webex pomocou prehliadačov Chrome, Edge, Safari, Firefox a ďalších.
- Zariadenia Cisco pre miestnosti a stolové zariadenia.
- Koncové body zvuku a videa tretích strán založené na štandardoch SIP.
- PSTN zariadenia.
Vývoj nasadení Webexu: Uprednostňovanie suverenity a nulovej dôvery v bezpečnosť
Keďže organizácie čoraz viac uprednostňujú suverenitu údajov a prísne bezpečnostné štandardy, spoločnosť Webex vyvíja svoje modely nasadenia s cieľom poskytnúť väčšiu kontrolu nad obsahom stretnutí a zabezpečiť, aby bezpečnosť nikdy nebola na úkor funkčnosti.
Zákaznícka suverenita Webexu
V reakcii na rastúci dopyt po rezidencii dát zaviedla spoločnosť Webex rozšírené možnosti ochrany suverenity dát. Počnúc nahrávaním a s podporou ďalších služieb, ktoré budú čoskoro k dispozícii, si organizácie teraz môžu udržať kontrolu nad obsahom svojich stretnutí pomocou:
- Lokalizované spracovanie– Spracovanie obsahu stretnutí, ako sú napríklad nahrávky, v rámci vlastnej infraštruktúry.
- Lokálne úložisko— Využívanie vlastných služieb ukladania súborov na uloženie citlivých materiálov zo stretnutí, čím sa zabezpečí, že údaje zostanú v rámci určených geografických alebo organizačných hraníc.
Ultra zabezpečené stretnutia Webex
Historicky si funkcie „ultra bezpečné“, ako napríklad Zero Trust End-to-End Encryption (E2EE), často vyžadovali kompromis vo funkčnosti stretnutí, pretože cloudové služby s pridanou hodnotou vyžadovali prístup k šifrovacím kľúčom a k týmto stretnutiam sa mohol pripojiť iba obmedzený počet typov koncových bodov. Webex tento kompromis eliminoval pomocou:
- Zero Trust s bohatými funkciami— Spoločnosť Webex transformovala stretnutia s nulovou dôverou typu End-to-End Encrypted (E2EE) a pridala funkcie, vďaka ktorým sú stretnutia s nulovou dôverou bohaté na funkcie. Podpora širšieho počtu typov koncových bodov poskytuje bezproblémový zážitok bez obetovania nástrojov potrebných pre modernú spoluprácu.
- Zero Trust pre štandardné stretnutia— Spoločnosť Webex integrovala funkcie Zero Trust E2EE priamo do štandardných stretnutí. Vďaka tomu môže aj každodenná spolupráca profitovať z najvyššej úrovne zabezpečenia a poskytovať konzistentnú ochranu v celom ekosystéme Webex.
Jednotný prístup k spolupráci
Integráciou zákazníckej suverenity s týmito pokročilými funkciami Zero Trust E2EE umožňuje Webex organizáciám dosiahnuť dvojaký cieľ: hosťovanie vysoko zabezpečených stretnutí s nulovou dôverou v cloude Webex a zároveň zachovanie plnej kontroly nad spracovaním a ukladaním kritického obsahu stretnutí lokálne. Táto synergia poskytuje flexibilitu a bezpečnosť potrebnú pre moderné podnikové prostredia zamerané na dodržiavanie predpisov.
Bezpečnostný rámec Webex: Tri úrovne ochrany
Webex ponúka tri úrovne zabezpečených stretnutí, ktoré sú navrhnuté tak, aby spĺňali prísne požiadavky na dodržiavanie predpisov, suverenitu a ochranu údajov.
- Štandardné stretnutia— Poskytuje robustné šifrovanie prenášaných aj uchovávaných údajov. Hoci tieto stretnutia spĺňajú bezpečnostné štandardy podnikovej úrovne, nepoužívajú architektúru Zero Trust, pretože cloudová infraštruktúra si zachováva schopnosť spravovať šifrovacie kľúče.
- Štandardné stretnutia s adaptívnym zabezpečením– Vylepšuje štandardný model použitím dynamických bezpečnostných politík. Táto úroveň uprednostňuje použitie end-to-end šifrovania (E2EE) vždy, keď to prostredie účastníka a možnosti koncových bodov dovoľujú, čím sa vyvažuje flexibilita so zvýšenou bezpečnosťou.
- Stretnutia s nulovou dôverou a šifrovaním typu End-to-Encrypted (E2EE)– Predstavuje najvyššiu úroveň zabezpečenia. Vďaka zabezpečeniu, že šifrovacie kľúče generujú a spravujú výlučne účastníci stretnutia, tento model robí cloudovú infraštruktúru „slepou“ voči mediálnemu streamu a obsahu stretnutia. Táto architektúra vynucuje prísnu integritu Zero Trust, ktorá zabraňuje dešifrovaniu na strane cloudu počas celej relácie.
Hybridná infraštruktúra a integrácia bezpečnosti
Organizácie môžu tieto úrovne zabezpečenia ďalej rozšíriť nasadením lokálnych služieb Webex, ako je napríklad Webex Video Mesh Node. Táto integrácia rozširuje bezpečnostný perimeter, umožňuje konzistentný systém nulovej dôvery (Zero Trust) v rámci cloudu Webex a zároveň poskytuje niekoľko prevádzkových výhod:
- Optimalizované smerovanie médií— Znižuje latenciu udržiavaním lokálnej prevádzky médií, čím zabezpečuje vysokokvalitný výkon pre lokálne koncové body.
- Lokalizované poskytovanie služieb— Umožňuje hosťovanie špecifických služieb pre stretnutia, ako je napríklad nahrávanie v priestoroch zariadenia, pričom sa prísne dodržiavajú požiadavky na bezpečnosť a suverenitu.
- Rozšírený bezpečnostný perimeter— Umožňuje bezpečný prístup k internej infraštruktúre s nízkou latenciou a zabezpečuje zachovanie integrity Zero Trust aj pri integrácii hybridných komponentov.

Štandardné služby Webex Meetings poskytujú robustnú službu videokonferencií profesionálnej úrovne, ktorá dokáže podporiť stretnutia až s 1 000 účastníkmi. Medzi kľúčové funkcie patria skupinové stretnutia, zdieľanie obsahu, integrovaný zvuk a video, asistent s umelou inteligenciou, preklad v reálnom čase, nahrávanie stretnutí, chat, zdieľanie súborov, tabule a podnikové integrácie. Platforma šifruje signalizáciu a mediálne streamy pomocou šifrovania SRTP hop-by-hop, čo umožňuje cloudu Webex dešifrovať médiá a umožniť tak pokročilé služby, ako je nahrávanie, transkripcia a funkcie umelej inteligencie.
Obsah stretnutí, ako sú nahrávky, prepisy, tabule, chat a súbory, je bezpečne uložený v cloude Webex, šifrovaný pomocou AES-256-GCM a chránený systémom správy kľúčov, ktorý podporuje hybridné zabezpečenie údajov a možnosti „prineste si vlastný kľúč“. Overovanie identity je podporované štandardnými metódami vrátane jednotného prihlásenia (SSO) a integrácie s externými poskytovateľmi identity. Prístupnosť zahŕňa širokú škálu koncových bodov vrátane zariadení SIP a používateľov PSTN, vďaka čomu je riešenie vhodné pre používateľov, ktorí vyžadujú komplexné funkcie s integráciou cloudových služieb a širokou kompatibilitou zariadení. Administrátori majú kontrolu nad uchovávaním obsahu schôdzí, kontrolami prístupu a funkciami schôdzí prostredníctvom Webex Control Hub, čo poskytuje centralizovanú správu, diagnostiku a bezpečnostný dohľad.

Štandardné Webex Meetings s adaptívnym zabezpečením zahŕňajú všetky funkcie štandardných Webex Meetings, vylepšené o možnosti šifrovania Zero Trust end-to-end. V tomto modeli koncové body Webex, ktoré podporujú šifrovanie end-to-end, používajú protokol Messaging Layer Security (MLS) ( RFC 9420) na vyjednávanie kľúčov a SFrame ( RFC 9605) na prenos médií. Tento prístup poskytuje dve kľúčové výhody:
- Zero Trust End-to-End Encryption— Keď všetci účastníci a služby podporujú MLS a SFrame, šifrovacie kľúče stretnutia sa generujú a zdieľajú výlučne medzi účastníkmi, čo bráni cloudu Webex alebo akémukoľvek sprostredkovateľovi v dešifrovaní mediálnych streamov.
Ak sa pripojí koncový bod alebo služba, ktorá nepodporuje MLS a SFrame, Webex dynamicky zavedie službu prepojenia SFrame-to-SRTP na konverziu medzi týmito dvoma mediálnymi formátmi. V tomto bode sa bezpečnostný režim stretnutia zmení z nulovej dôvery na bezpečný, keďže Webex získa prístup k šifrovacím kľúčom, čo umožní účasť koncovým bodom iba s protokolom SRTP a cloudovým službám Webex, ako je nahrávanie a AI Assistant. Medzitým koncové body Webexu naďalej používajú MLS a SFrame.
- Zero Trust End-to-End Identity– Všetky koncové body Webex používajúce MLS si počas procesu vyjednávania kľúča stretnutia vymieňajú certifikáty identity používateľov. Tieto certifikáty môžu vydávať organizácie účastníkov, čo umožňuje prezentáciu a overovanie totožnosti nezávisle od služieb Webex. Táto forma nulovej dôveryhodnosti zabezpečuje, že účastníci sú tým, za koho sa vydávajú, a chráni ich pred deepfake útokmi bez toho, aby sa museli spoliehať na detekčné služby.

Stretnutia Webex Zero Trust s end-to-end šifrovaním poskytujú zvýšené zabezpečenie kombináciou end-to-end šifrovania s overenou identitou účastníkov. Tento bezpečnostný model používa protokol Messaging Layer Security (MLS) na vyjednávanie kľúčov a SFrame na prenos médií, čím sa zabezpečuje, že šifrovacie kľúče stretnutia sú generované a zdieľané výlučne medzi účastníkmi. V dôsledku toho cloud Webex ani žiadny sprostredkovateľ nedokáže dešifrovať mediálne streamy, čo ponúka bezpečnostný stav s nulovou dôverou.
Medzi kľúčové vlastnosti patria:
- Zero Trust End-to-End Encryption— Všetci účastníci podporujú MLS a SFrame, šifrovacie kľúče stretnutia zostávajú prístupné iba im, čím sa zabráni prístupu cloudu alebo poskytovateľa služieb.
- Zero Trust End-to-End Identity— Účastníci si počas vyjednávania kľúčov vymieňajú certifikáty identity používateľov, ktoré môžu vydávať ich organizácie. To umožňuje nezávislé overovanie totožnosti bez spoliehania sa na služby Webex, čím chráni pred zosobnením a deepfake útokmi.
- Overenie zabezpečenia— Všetkým účastníkom sa zobrazí bezpečnostný kód stretnutia odvodený z balíkov kľúčov MLS všetkých účastníkov. Zhodné kódy potvrdzujú, že stretnutie nebolo zachytené ani ovplyvnené útočníkom typu „man-in-the-middle“.
- Podporované funkcie a obmedzenia— Stretnutia s nulovou dôverou podporujú až 1 000 účastníkov, lokálne nahrávanie, chat počas stretnutia, prenos súborov, bielu tabuľu, anotácie, ovládanie vzdialenej plochy a video/audio vodoznak. Funkcie vyžadujúce cloudový prístup k dešifrovaným médiám, ako napríklad sieťové nahrávanie, prepis, AI Assistant a hovory cez PSTN alebo SIP zariadenia, však nie sú podporované. (Nasadením hybridnej architektúry Webex je možné vyriešiť väčšinu týchto obmedzení – pozri nižšie).
- Overenie identity— Hostitelia môžu vidieť stav overenia účastníkov a rozlišovať medzi overenými identitami (prostredníctvom externých alebo certifikačných autorít Webex) a neoverenými používateľmi, čo umožňuje lepšiu správu bezpečnosti stretnutí.
Rozšírenie bezpečnostných hraníc pomocou uzla Video Mesh

Pridanie uzla Video Mesh do organizácie umožňuje zákazníkom poskytovať služby lokálnych stretnutí a umožňuje ich lokálnym koncovým bodom pripojiť sa k akémukoľvek stretnutiu Webex. Z bezpečnostného hľadiska integrácia uzla Video Mesh zachováva systém Zero Trust v rámci cloudu Webex a zároveň ponúka takmer rovnakú funkčnosť ako štandardné stretnutia Webex. Zákazníci tiež profitujú zo suverenity údajov, pretože služby ako záznamy zo stretnutí Video Mesh Node sa spracovávajú a ukladajú lokálne.
|
Funkcia |
Stretnutia Webex Pro (štandard) s lokálnym uzlom Video Mesh (VMN) |
Stretnutia Webex End-to-End šifrované (Zero Trust) s lokálnym uzlom Video Mesh (VMN) |
|---|---|---|
|
Typ šifrovania |
Hop-by-hop (TLS/SRTP) |
Komplexné (MLS) / S-rám) |
|
Kapacita účastníkov |
Až 1 000 |
Až 1 000 |
|
Aplikácia Webex pre počítače |
Podporované |
Podporované |
|
Mobilná aplikácia Webex |
Podporované |
Podporované |
|
Webová aplikácia Webex |
Podporované |
Podporované |
|
Webex Web SDK |
Podporované |
Podporované |
|
Videozariadenia Cisco (registrované v cloude) |
Podporované |
Podporované |
|
IP telefóny Webex Calling (registrované v cloude) |
Podporované |
Podporované Telefóny Cisco radu 9800 Telefóny Cisco radu 8875 |
|
Videozariadenia Cisco (Registrované v systéme CUCM (SIP)) |
Podporované |
Podporované (VMN) |
|
IP telefóny Webex Calling (Registrované v systéme CUCM (SIP)) |
Podporované |
Podporované (VMN) |
|
PSTN |
Podporované |
Nepodporované – nie je nulová dôvera |
|
Nahrávanie stretnutí |
Lokálne – Podporované (aplikácia Webex) Webex Cloud – Podporované V priestoroch – Podporované (VMN) |
Lokálne – Podporované (aplikácia Webex) V priestoroch – Podporované (VMN) |
|
Cisco AI Assistant Zhrnutia, prepisy, úlohy |
Webex Cloud – Podporované V priestoroch – Podporované (VMN) |
Webex Cloud – Podporované V priestoroch – Podporované (VMN) |
|
Oddelené miestnosti |
Podporované |
Podporované |
|
Vstavané aplikácie (napr. Slido) |
Podporované |
Podporované Nie nulová dôvera |
|
Osobná zasadacia miestnosť |
Podporované |
Podporované |
|
Lobby & Kontroly prijímania |
Podporované |
Podporované |
|
Pridajte sa pred hostiteľom |
Podporované |
Podporované |
|
Ovládanie vzdialenej plochy |
Podporované |
Podporované |
|
Chat, Súbory, Tabule, Anotácia |
Podporované |
Podporované – nepretrváva |
|
Prekódovanie pri zdieľaní obrazovky s koncovými bodmi podporujúcimi nižšie rozlíšenie videa |
Podporované |
Nepodporované Zdieľanie obrazovky s nízkym rozlíšením sa používa pre všetkých účastníkov, ak sa k schôdzi pripojí koncový bod s nízkou kapacitou. |
Používanie end-to-end šifrovania s nulovou dôverou môže síce predĺžiť pripojenie k schôdzke, ale poskytuje jasnú bezpečnostnú záruku – prístup k šifrovacím kľúčom schôdzky majú iba účastníci schôdzky, takže obsah schôdzky nemôže dešifrovať poskytovateľ služieb ani iní sprostredkovatelia.
Zhrnutie: Modely nasadenia Webex Meetings a hybridné modely
Ako je znázornené vo vyššie uvedenom porovnaní, nasadenie uzla Video Mesh Node (VMN) umožňuje službe Zero Trust Webex Meetings dosiahnuť takmer rovnakú funkčnú paritu ako štandardné stretnutia Webex. Hoci stretnutia s nulovou dôverou nepodporujú účastníkov PSTN, webová aplikácia Webex slúži ako široko dostupná alternatíva pre šifrovaný prístup medzi koncovými bodmi. VMN navyše umožňuje kancelárskym pracovníkom používajúcim stolové telefóny bezproblémovo sa pripájať k stretnutiam s nulovou dôverou.
Video Mesh Node tiež zabezpečuje dátovú suverenitu pre kritický obsah stretnutí vrátane nahrávok a – v blízkej budúcnosti – prepisov, súhrnov a úloh. Spracovaním a uložením týchto údajov lokálne poskytuje VMN zákazníkom úplnú kontrolu nad ich informáciami a zároveň zachováva architektúru Zero Trust v rámci cloudu Webex.
Súkromné stretnutia Webex
Ak má vaša organizácia v sieti službu Video Mesh, váš správca môže povoliť súkromné stretnutia kontaktovaním vášho obchodného zástupcu. Táto funkcia zvyšuje bezpečnosť vášho stretnutia tým, že ukončuje médiá iba vo vašich priestoroch. Keď naplánujete súkromné stretnutie, médiá sa vždy ukončia na uzloch Video Mesh vo vašej firemnej sieti bez cloudovej kaskády. Hoci súkromné stretnutia Webex ponúkajú súkromie tým, že médiá uchovávajú iba vo vašich priestoroch, zavádzajú aj obmedzenia tým, že obmedzujú účastníkov stretnutia iba na členov vašej organizácie a blokujú prístup ku cloudovým službám, ako je nahrávanie a Cisco AI Assistant.
Viac informácií o súkromných stretnutiach Webex a pokyny k návrhu pre Webex Edge Video Mesh nájdete v článku Preferovaná architektúra pre Webex Edge Video Mesh.

Webex ponúka širokú škálu hybridných služieb, ktoré umožňujú organizáciám využiť existujúce investície do lokálnej infraštruktúry a zároveň profitovať z cloudových inovácií, poskytujú konzistentný používateľský zážitok, vylepšené zabezpečenie a flexibilné možnosti nasadenia pre Webex Meetings a celkovo spoluprácu. Medzi kľúčové hybridné služby dostupné pre Webex Meetings patria:
- Mediálne uzly Video Mesh– Umožňujú IP telefónom a koncovým bodom SIP registrovaným v Unified CM odosielať zvukový, obrazový a obrazovkový obsah zdieľaný do klastra Webex Video Mesh počas stretnutí, čím sa zlepšuje smerovanie a kvalita médií.
- Nahrávanie videa cez sieť– Umožňuje organizáciám nahrávať stretnutia Webex pomocou lokálnej infraštruktúry. Vďaka tomu sa všetky záznamové údaje spracúvajú v uzle Video Mesh a ukladajú sa lokálne, čo poskytuje väčšiu kontrolu nad umiestnením a zabezpečením údajov.
- Lokálne služby umelej inteligencie Webex— Súhrny, prepisy a akčné položky sa spracovávajú a ukladajú lokálne, čo poskytuje väčšiu kontrolu nad umiestnením a zabezpečením údajov.
- Hybridná služba zabezpečenia údajov– Umožňuje organizáciám ukladať a spravovať šifrovacie kľúče Webex vo svojich dátových centrách lokálne pre zvýšenie zabezpečenia.
- Služba volania— Integrácia existujúceho systému Cisco Unified Communications Manager alebo iného lokálneho systému riadenia hovorov s cloudom Webex, čo umožňuje používateľom bezproblémové pripájanie sa k stretnutiam.
- Služba kalendára– Integrácia s podporovanými prostrediami kalendára umožňuje plánovanie stretnutí odkiaľkoľvek bez doplnkov.
- Adresárová služba— Synchronizácia používateľských adresárov medzi lokálnym a cloudovým prostredím pre konzistentnú správu identít používateľov.
- Webex Edge Audio a Webex Edge Connect— Poskytujú VoIP trasy v sieti a vyhradené IP prepojenia s podporou QoS z priestorov zákazníka do cloudu Webex, čím zlepšujú kvalitu zvuku a znižujú náklady obchádzaním PSTN.
Šifrovanie a ochrana osobných údajov Webex
Webex Meetings zaisťuje robustné zabezpečenie šifrovaním signalizácie aj mediálnych dát počas prenosu aj v pokoji. Všetka komunikácia medzi aplikáciami, zariadeniami a službami Webex používa TLS 1.2 alebo novší so silnými šifrovacími sadami na šifrovanie signalizácie. Mediálne streamy – vrátane zvuku, videa, zdieľania obrazovky a zdieľania dokumentov – sú šifrované pomocou preferovanej šifry AES-256-GCM.
Kryptografia: Šifrovanie údajov počas prenosu
Všetka komunikácia medzi aplikáciami Webex registrovanými v cloude, zariadeniami Webex a službami Webex prebieha cez šifrované kanály. Webex používa na signalizáciu protokol TLS verzie 1.2 alebo novšej s vysokopevnostnými šifrovacími sadami.
Po nadviazaní relácie cez TLS sú všetky mediálne streamy (zvuk, video, zdieľanie obrazovky a zdieľanie dokumentov) šifrované.
Šifrovaná signalizácia Webex
Služby Webex podporujú verzie TLS 1.2 a 1.3, pričom TLS 1.3 sa uprednostňuje, ak ho podporuje pripájajúci sa koncový bod. Ak klient podporuje iba TLS 1.2, server Webex vyberie najsilnejšiu bežnú šifrovaciu sadu ponúkanú klientom. Na rozdiel od TLS 1.2, TLS 1.3 nepoužíva výber šifrovacej sady podľa preferencií servera, pretože sa spolieha na menšiu, upravenú sadu moderných šifier. Tento dizajn zjednodušuje proces výberu a viac sa zameriava na vylepšenia výkonu, ako je skrátenie celkovej dĺžky handshake, pričom zachováva vysokú bezpečnosť. Šifrovacie sady pre TLS 1.2 a 1.3 používané spoločnosťou Webex sú dobre definované a majú prioritu, aby sa zabezpečila bezpečná komunikácia.
Šifrovacie sady TLS
Šifrovacie sady TLS 1.3 (servery TLS 1.3 nepoužívajú poradie preferencií pre výber sady)
|
Šifrovací balík |
Kľúč negotiation/generation protokol |
|---|---|
|
TLS_AES_256_GCM_SHA384 |
ECDH SecP256r1MLKEM768 (rov. > 3072 bitov RSA) |
|
TLS_AES_128_GCM_SHA256 |
ECDH SecP256r1MLKEM768 (rov. > 3072 bitov RSA) |
|
TLS_CHACHA20_POLY1305_SHA256 |
ECDH SecP256r1MLKEM768 (rov. > 3072 bitov RSA) |
Šifrovacie balíky TLS 1.2 (balíky v poradí preferovanom serverom)
|
Šifrovací balík |
Kľúč negotiation/generation protokol |
|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH secp256r1 (ekvivalent 3072 bitov RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH secp256r1 (ekvivalent 3072 bitov RSA)
|
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
ECDH secp256r1 (ekvivalent 3072 bitov RSA)
|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH secp256r1 (ekvivalent 3072 bitov RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH secp256r1 (ekvivalent 3072 bitov RSA)
|
Šifrovacie šifry AES_256_CBC a AES_128_sú podporované, aby sa zachovala kompatibilita so staršími systémami, staršími prehliadačmi a vstavanými zariadeniami, ktoré nepodporujú moderné šifry AEAD (Authenticated Encryption with Associated Data), ako napríklad AES-GCM, napr. Internet Explorer 11 v systéme Windows 7 a Windows 8.1, Safari. 6/7/8 v skorších verziách systémov iOS a MacOS sa používajú šifry založené na CBC.
CHACHA20_POLY1305 je prúdová šifra s nízkou závislosťou od hardvéru, vďaka čomu je vynikajúcou šifrou na použitie na mobilných zariadeniach alebo zariadeniach s nízkoenergetickými procesormi.
Postkvantová bezpečná kryptografia
Postkvantová kryptografia (PQC) je opatrenie na zabezpečenie budúcnosti, ktoré slúži ako proaktívny štít proti útokom typu Harvest Now Decrypt Later (HNDL) na dáta prenášané dnes.
HNDL sa spolieha na skutočnosť, že súčasné asymetrické šifrovanie (ako RSA a Diffie-Hellman) je zraniteľné voči budúcim kvantovým počítačom. Útočníci túto prevádzku „zbierajú“ teraz, vediac, že ju ešte nedokážu prečítať, ale stavia sa na to, že o 10 rokov budú mať nástroje na jej odomknutie.
PQC implementuje matematický „zámok“ na zraniteľné údaje. PQC používa matematiku založenú na mriežke alebo hashovaní, ktorá je odolná voči klasickým aj kvantovým algoritmom. Aj keď útočník dnes získa dáta šifrované pomocou PQC, navždy pre neho zostanú „čiernou skrinkou“, pretože ani budúci kvantový počítač nebude mať algoritmus na jej prelomenie.
Väčšina útokov HNDL sa zameriava na výmenu kľúčov (proces, v ktorom sa dve strany dohodnú na tajnom kľúči). Ak útočník dnes zachytí výmenu kľúčov pomocou starších metód, môže neskôr odvodiť kľúče relácie a dešifrovať celú konverzáciu.
Protokoly Webex TLS a MLS podporujú mechanizmy post-kvantového zapuzdrenia kľúčov (ML-KEM). Vďaka tomu je úplne prvé „handshake“ medzi používateľom a cloudom Webex odolné voči kvantovým zmenám. Ak je výmena kľúčov bezpečná pred kvantovými útokmi, zvyšok šifrovanej relácie zostáva chránený pred retrospektívnym dešifrovaním.
Webex TLS s podporou PQC
Cloud Webex podporuje ECDH-SecP256r1-MLKEM768 pre zapuzdrenie kľúčov v rámci šifer TLS 1.3. Tento hybridný mechanizmus dohody o kľúčoch integruje klasickú výmenu kľúčov (ECDH cez SecP256r1) s kvantovo odolným zapuzdrením kľúčov (ML-KEM-768). Tento hybridný prístup zaisťuje postkvantovú bezpečnosť a zároveň zachováva spätnú kompatibilitu, pričom sa vracia ku klasickému ECDH, ak klient TLS 1.3 nepodporuje ML-KEM.
Využitie TLS 1.3 s mechanizmami post-kvantového zapuzdrenia kľúčov (PQ-KEM) závisí od operačného systému pripájajúceho sa klienta. Medzi podporované systémy patria Windows 11, macOS 14.4 (Sonoma), Linus (OpenSSL 3.5+), iOS 26 a Android 17.
Webex MLS s podporou PQC
Protokol Messaging Layer Security (MLS) ( RFC 9420) je štandardizovaný, vysoko efektívny rámec IETF určený na bezpečné šifrovanie medzi koncovými bodmi v skupinovej komunikácii. Webex integruje ECDH-SecP256r1-MLKEM768 do MLS, aby poskytoval kvantovo odolné kľúčové dohody pre end-to-end šifrované stretnutia s nulovou dôverou.
Implementácia PQC na vrstve MLS poskytuje kľúčovú výhodu „obrany do hĺbky“ – chráni médiá a obsah zo stretnutí pred útokmi typu Harvest Now, Decrypt Later (HNDL). Aj keď pripájajúce sa zariadenie nemá podporu pre PQC na úrovni operačného systému, čo môže viesť k zraniteľnosti transportnej vrstvy TLS, základný obsah stretnutia zostáva bezpečný a budúce kvantové výpočtové zdroje ho nemôžu dešifrovať.
Šifrované médiá Webex
Štandardy šifrovania médií pre Webex
Stretnutia a hovory Webex využívajú robustné šifrovanie založené na AES pre všetky mediálne pakety. Konkrétna šifrovacia sada závisí od typu koncového bodu, pričom AES-256-GCM slúži ako preferovaný štandard pre optimálne zabezpečenie.
|
Typ koncového bodu |
Podporované šifry |
|---|---|
|
Aplikácia Webex a zariadenia RoomOS |
AES-256-GCM |
|
Tretia strana SIP/H.323 zariadenia |
AES-256-GCM AES-128-GCM AES-CM-128-HMAC-SHA1 |
Kľúčové bezpečnostné aspekty
- Preferovaný štandard— AES-256-GCM je odporúčaná šifra pre všetky nasadenia, aby sa zabezpečila najvyššia úroveň integrity a dôvernosti údajov.
- Interoperabilita— Hoci Webex zachováva podporu pre staršie šifry (ako napríklad AES-CM-128-HMAC-SHA1) na zabezpečenie interoperability so systémami SIP a H.323 tretích strán, organizácie, ktoré uprednostňujú architektúru s nulovou dôverou, by mali presadzovať AES-256-GCM tam, kde to kompatibilita zariadení umožňuje.
Protokoly prenosu médií
Webex podporuje prenos médií cez UDP, TCP alebo TLS. Pre optimálny výkon hlasu a videa spoločnosť Cisco dôrazne odporúča UDP.
Úvahy o výkone:
- Efektívnosť v reálnom čase— UDP je preferovaný prenos pre médiá v reálnom čase, pretože minimalizuje latenciu a jitter tým, že sa vyhýba mechanizmom opakovaného prenosu a ukladania do vyrovnávacej pamäte, ktoré sú vlastné protokolom orientovaným na pripojenie.
- Vplyv TCP/TLS—Hoci TCP a TLS poskytujú spoľahlivé a usporiadané doručovanie údajov, toto správanie je kontraproduktívne pre médiá v reálnom čase. Výsledné opakované prenosy paketov a ukladanie streamu do vyrovnávacej pamäte spôsobujú latenciu a jitter, čo môže výrazne znížiť kvalitu zážitku pre účastníkov.
Používanie SRTP a SFrame pre médiá spoločnosťou Webex
Pre zachovanie vysokých bezpečnostných štandardov požadovaných pre prostredia WebexZero Trust je dôležité rozlišovať medzi zabezpečením na úrovni transportu (SRTP) a šifrovaním end-to-end na aplikačnej vrstve (SFrame).
|
Funkcia |
SRTP (zabezpečený RTP) |
SFrame (bezpečný rám) |
|---|---|---|
|
Primárny cieľ |
Bezpečná preprava médií |
Šifrovanie typu end-to-end (E2EE) |
|
Vrstva |
Transportná vrstva |
Application/Payload Vrstva |
|
Viditeľnosť |
Šifruje RTP dáta; hlavičky sú často viditeľné |
Zašifruje mediálny rámec pred prenosom |
|
Správa kľúčov |
DTLS-SRTP |
Oddelené (protokol MLS) |
|
Mediálny server / Interakcia mediálnej brány (SFU) |
SFU decrypts/re-encrypts |
SFU je „slepá“ (nedokáže dešifrovať) |
Kľúčové technické rozdiely – SRTP & SFrame
- SRTP (Secure Real-time Transport Protocol)
SRTP je priemyselný štandard pre zabezpečenie mediálnych streamov počas prenosu.
- Rozsah— Poskytuje dôvernosť, overovanie správ a ochranu pred opakovaným prehrávaním pre dáta RTP.
- Prevádzkový kontext— V mnohých architektúrach mediálny server/mediálna brána (jednotka selektívneho presmerovania (SFU)) ukončí pripojenie SRTP, aby vykonal spracovanie médií (napríklad mixovanie, kompozíciu rozloženia alebo transkódovanie). Keďže SFU na spracovanie dešifruje médium, je médium v bode SFU technicky zraniteľné.
- SFrame (bezpečný rám)
SFrame je štandard IETF. RFC 9605 je navrhnutý špeciálne na uľahčenie skutočného šifrovania typu end-to-end v prostredí viacstranných konferencií.
- Rozsah—Šifruje paketizované mediálne rámce predtým, ako sú zapuzdrené do RTP paketov. Webex pridáva ďalšiu vrstvu šifrovania pomocou SRTP.
- Architektúra nulovej dôvery— Keďže médiá sú šifrované na aplikačnej vrstve, SFU funguje iba ako „slepé“ relé. Smeruje šifrované pakety k ostatným účastníkom bez toho, aby mali prístup k dešifrovacím kľúčom.
- Nezávislosť—SFrame je nezávislý od transportu. Zostáva bezpečný, aj keď je podkladová preprava (UDP/TCP/TLS) je ohrozená, pretože bezpečnostný kontext je viazaný na koncové body účastníkov, a nie na transportné pripojenie.
SFrame je kľúčový mechanizmus, ktorý umožňuje E2EE. Zatiaľ čo SRTP zabezpečuje šifrovanie dát počas prenosu sieťou, SFrame zabezpečuje, že médiá zostanú šifrované počas celého životného cyklu stretnutia, a to aj v čase, keď sa nachádzajú v infraštruktúre spoločnosti Cisco (SFU), čím sa poskytovateľ služieb efektívne vyraďuje z hranice dôveryhodnosti.
Šifrovanie údajov v pokoji: Webex Meetings
Dáta uložené v rámci služby Webex Meetings sú rozdelené do dvoch odlišných kategórií, pričom každá má svoj vlastný bezpečnostný profil:
- Obsah Webex Meetings
- Metadáta zo stretnutí Webex
Obsah stretnutí Webex
Obsah stretnutia pozostáva z údajov vytvorených účastníkmi alebo vygenerovaných službami Webex v mene hostiteľa stretnutia. Patria sem:
- Obsah súvisiaci s médiami— Nahrávky, prepisy, súhrny a úlohy.
- Údaje o spolupráci—Správy z chatu, shared/transferred súbory, tabule a anotácie.
Zabezpečenie obsahu Webex Meetings – komplexné šifrovanie Webex
Webex zabezpečuje obsah stretnutí generovaný účastníkmi pomocou robustného rámca end-to-end šifrovania (E2EE). Ústredným prvkom tejto architektúry je služba správy kľúčov Webex (KMS), ktorá je zodpovedná za generovanie, distribúciu a správu šifrovacích kľúčov pre všetok obsah generovaný používateľmi.
Vrstvy zabezpečenia obsahu stretnutí
- Prenášané dáta– Aplikácia Webex a videozariadenia Cisco používajú šifrovanie Webex end-to-end (E2EE) s AES-256-GCM na šifrovanie obsahu stretnutí generovaného používateľmi, ako sú súbory so záznamami, súhrnné súbory umelej inteligencie, správy z chatu atď. Toto je ďalej zapuzdrené v rámci Transport Layer Security (TLS), aby sa počas prenosu zabezpečila dvojvrstvová ochrana.
- Uložené dáta– Po uložení v cloude Webex je šifrovaný obsah dodatočne chránený šifrovaním disku AES-256-GCM.
- Profil ochrany– Tento prístup chráni obsah pred zachytením TLS počas prenosu a zabezpečuje, že uložené údaje zostanú neprístupné pre neoprávnených aktérov v cloudovom prostredí.
Komplexné šifrovanie Webex so spravovaným prístupom k obsahu pre základné služby
Na rozdiel od end-to-end šifrovania Zero Trust, kde Webex nemá prístup k šifrovacím kľúčom médií alebo obsahu, end-to-end šifrovanie Webex umožňuje platforme využívať kľúče generované službou Webex KMS na dešifrovanie údajov pre základné služby. Tento spravovaný prístup umožňuje:
- Vyhľadávanie a indexovanie– Umožňuje používateľom vyhľadávať v histórii obsahu.
- Súlad s predpismi a riadenie— Umožňuje prevenciu straty údajov (DLP), elektronické vyhľadávanie a archiváciu údajov.
- Optimalizácia médií— Podporuje prekódovanie súborov pre kompatibilitu medzi zariadeniami.
- Zabezpečenie– Uľahčuje skenovanie škodlivého softvéru pomocou balíka Extended Security Pack.
Metadáta Webex Meetings
Metadáta stretnutí pozostávajú z administratívnych a technických informácií generovaných systémom na uľahčenie, sledovanie a riadenie stretnutia, a nie zo skutočného obsahu (zvuku, videa alebo zdieľaných súborov) samotného stretnutia. Metadáta možno rozdeliť do niekoľkých kategórií:
- Informácie o relácii– Názov stretnutia, ID stretnutia, plánovaný čas začiatku a ukončenia a skutočné trvanie stretnutia.
- Údaje o účastníkoch– Zoznam pozvaných a skutočných účastníkov, ich IP adresy, typy zariadení (napríklad Windows, iPhone, Cisco Room Kit) a ich join/leave časové pečiatky.
- Metriky používania a kvality– Údaje používané na riešenie problémov, ako napríklad strata paketov, chvenie, latencia a rozlíšenie video streamu.
Ako sa používajú metadáta
- Analytika a reportovanie— Administrátori používajú metadáta v aplikácii WebexControl Hub na zistenie, koľko stretnutí prebieha, ktoré oddelenia sú najaktívnejšie a aká je celková kvalita používateľského zážitku.
- Riešenie problémov— Cisco TAC (Centrum technickej pomoci) používa metadáta na identifikáciu a riešenie problémov so stretnutiami.
- Súlad s predpismi a elektronické vyhľadávanie informácií— Pracovníci zodpovední za dodržiavanie predpisov môžu vyhľadávať metadáta, aby dokázali, že sa stretnutie konalo, kto sa ho zúčastnil a či bolo nahraté, a to aj v prípade, že nevidia šifrovaný obsah stretnutia.
- Zabezpečenie— Metadáta pomáhajú identifikovať pokusy o neoprávnený prístup alebo nezvyčajné vzorce, ktoré by mohli naznačovať bezpečnostnú hrozbu.
Bezpečnosť a súkromie metadát
- Šifrovanie— Hoci metadáta nie sú „šifrované od začiatku do konca“, sú stále šifrované počas prenosu (pomocou TLS) a aj v pokoji v zabezpečených dátových centrách spoločnosti Cisco.
- Riadenie prístupu– Zásady ochrany osobných údajov spoločnosti Cisco prísne obmedzujú, kto má prístup k týmto metadátam, a tie sa používajú na poskytovanie a zlepšovanie služby.
Viac informácií o obsahu a metadátach stretnutí Webex nájdete v Vyhlásení o ponuke stretnutí Webex.
Typy relácií Webex Meetings
Typy relácií Webex Meetings sú konfigurácie alebo šablóny, ktoré definujú funkcie a možnosti dostupné pre stretnutia naplánované na stránke Webex. Tieto typy relácií môžu byť buď štandardné, alebo prispôsobené správcom lokality, aby povolili alebo zakázali špecifické funkcie pre používateľov. Táto flexibilita umožňuje organizáciám prispôsobiť si prostredie stretnutí podľa svojich bezpečnostných požiadaviek a potrieb používateľov. Viac informácií nájdete v časti Správa typov relácií v aplikácii Control Hub. 
Priradenie typov relácií schôdzí používateľom
Administrátori centra Webex Control Hub môžu priradiť jeden alebo viac typov stretnutí, ktoré môžu ich používatelia použiť pre naplánované stretnutia. Predvolene sú všetkým používateľom priradené typy stretnutí Pro Meeting a Pro-End to End Encryption_VoIPonly.
Naplánovať stretnutie – vyberte typ stretnutia
Používatelia si môžu vybrať typ stretnutia, ktorý chcú použiť pri plánovaní stretnutia, z aplikácie Webex, stránky používateľa Webex a doplnku Webex Email pre Microsoft Outlook.
Naplánovať stretnutie – Vyberte typ stretnutia v aplikácii Webex
Naplánovať stretnutie – Vyberte typ stretnutia na používateľskej stránke Webexu
Nastavenie predvoleného typu schôdze
Používatelia si môžu nastaviť predvolený typ stretnutia z na ich používateľskej stránke Webex.
Predvolený typ schôdze sa vzťahuje na plánované schôdze aj na osobné zasadacie miestnosti.
Nastavenie predvoleného typu schôdze zo stránky používateľa Webexu
Zabezpečenie plánovaných stretnutí Webex a osobných zasadacích miestností Webex
Plánované stretnutia Webex a osobné zasadacie miestnosti Webex sa výrazne líšia bezpečnostnými funkciami a zamýšľaným použitím.
Plánované stretnutia sú navrhnuté pre bezpečné, plánované relácie a ponúkajú komplexnú sadu bezpečnostných kontrol vrátane ochrany heslom, registrácie účastníkov, kontroly v lobby, vypnutia možností pripojenia pred hostiteľom a jedinečných URL adries stretnutí pre každú reláciu. Tieto funkcie pomáhajú zabezpečiť, aby sa mohli pripojiť iba oprávnení účastníci a aby si hostitelia udržali kontrolu nad prostredím stretnutia.
Naproti tomu osobné zasadacie miestnosti poskytujú trvalú URL adresu pre rýchle a neformálne stretnutia s dôveryhodnými účastníkmi. Zahŕňajú základné bezpečnostné funkcie, ako sú ovládacie prvky v lobby, manuálne alebo automatické uzamykanie a CAPTCHA na zabránenie automatizovaným útokom. Keďže je však URL adresa súkromnej miestnosti konštantná, môže predstavovať vyššie bezpečnostné riziko, ak sa zdieľa vo veľkom rozsahu.
Pre stretnutia vyžadujúce prísne zabezpečenie sa odporúčajú plánované stretnutia, zatiaľ čo osobné zasadacie miestnosti sú vhodnejšie pre dôveryhodné skupiny, ktoré uprednostňujú jednoduchý prístup pred prísnymi bezpečnostnými kontrolami.
Administrátori Control Hubu môžu nakonfigurovať Webex Personal Room Meetings iba na použitie v interných stretnutiach.
Nastavenia zabezpečenia schôdze pre správcov
Control Hub ponúka komplexnú sadu bezpečnostných kontrol pre plánované stretnutia Webex, čo umožňuje správcom prispôsobiť prístup k stretnutiam a správu účastníkov pravidlám organizácie. Tieto kontroly zahŕňajú:
- Nastavenia lobby schôdze – Nakonfigurujte správanie lobby pre hostí a neoverených používateľov vrátane možností, ktoré hosťom umožnia pripojiť sa priamo, čakať v lobby alebo im zablokujú pripojenie.
- Kategórie lobby pre interných, externých a neoverených (hosťovských) používateľov.
- Štítky účastníkov – názvy domén interných účastníkov and/or externí účastníci, označenie Neoverené pre neoverených (hosťovských) účastníkov.
- Funkcia automatického prihlasovania sa na schôdzu – Umožňuje overeným, pozvaným používateľom a miestnostiam pripojiť sa k schôdzam alebo ich začať bez zásahu hostiteľa, zatiaľ čo nepozvaní používatelia čakajú v hale alebo sú blokovaní.
- Automatické uzamknutie schôdze – Automaticky uzamkne schôdze po uplynutí určeného počtu minút (0, 5, 10, 15 alebo 20) od času začiatku, aby sa zabránilo oneskorenému pripojeniu.
- Správanie pri uzamknutí schôdze – Definujte, čo sa stane, keď je schôdza uzamknutá – či účastníci čakajú v predsieni alebo sa k nej nemôžu pripojiť.
- Vynútiť heslá pre schôdze – Vyžadovať heslá pre účastníkov, ktorí sa pripájajú z telefónov alebo systémov videokonferencií, s pridaním systémom generovaných číselných hesiel k pozvánkam.
- Stanovte si špecifické požiadavky na dĺžku a zložitosť hesla pre schôdze.
- Skryť odkaz na schôdzu pred účastníkmi – Zabráňte účastníkom v jednoduchom kopírovaní a zdieľaní odkazov na schôdzu počas schôdze, aby ste znížili neoprávnený prístup.
- Zakázať virtuálne kamery – Používatelia systému macOS môžu zakázať virtuálne kamery tretích strán, aby sa zvýšila bezpečnosť obmedzením prístupu ku kamerám iba na Webex.
- Vodoznak na stretnutiach – Povoľte vodoznak na zvuk a video, aby ste identifikovali zdroj nahrávok alebo snímok obrazovky a pomohli tak identifikovať únik údajov.
- Riadenie prístupu na základe domény pre externé a interné stretnutia – Ovládajte, či sa používatelia môžu pripojiť k externým stretnutiam, a obmedzte externým používateľom pripojenie sa k interným stretnutiam.
- Šablóny pre skupiny používateľov – Použite nastavenia funkcií schôdzí na skupiny používateľov alebo jednotlivých používateľov prostredníctvom šablón.
Viac informácií nájdete na:
Najvhodnejšie postupy Webex pre bezpečné schôdze: Centrum Control Hub
Aplikácia Webex | Informácie o lobby v aplikácii Webex Meetings
Prispôsobte si štítky účastníkov, ktoré sa zobrazujú v aplikácii Webex Meetings
Ovládacie prvky zdieľania obsahu schôdze pre správcov
Control Hub umožňuje správcom kontrolovať, ako sa môže obsah, ako sú nahrávky, súhrny, úlohy atď., zdieľať počas a po schôdzi a kontrolovať, ako dlho sa obsah schôdze uchováva v cloude Webex predtým, ako sa automaticky odstráni.
Ovládacie prvky obsahu
Zásady uchovávania obsahu stretnutí
Hostiteľ stretnutia má úplnú kontrolu nad jeho nastavením a mal by zabezpečiť, aby sa k nemu mohli pripojiť iba zamýšľaní pozvaní účastníci. Hostiteľ by mal tiež dodržiavať bezpečnostné zásady organizácie pri plánovaní stretnutí. Ak sa chcete dozvedieť, ako zabezpečiť zabezpečenie stretnutí Webex ako hostiteľ, pozrite si Najlepšie postupy Webexu pre zabezpečené stretnutia: Hostitelia.
V závislosti od bezpečnostných politík môžu niektoré organizácie úplne zablokovať svojim používateľom pripojenie sa k akýmkoľvek externým schôdzam alebo povoliť svojim používateľom pripojenie sa k schôdzam iba zo zoznamu schválených externých lokalít. Okrem toho môžu organizácie obmedziť svojim používateľom používanie určitých funkcií počas schôdzí, ako je chat, prenos súborov, anotácie, Q... & A a hlasovanie pri pripojení k externej schôdzi. Obmedzenia spolupráce od spoločnosti Webex môžu tieto funkcie zabezpečiť. Viac informácií nájdete v časti Obmedzenia spolupráce pre Webex Meetings v Control Hub.
Bezpečnostné kontroly pre hostiteľov stretnutí Webex
Hostitelia stretnutí Webex zohrávajú kľúčovú úlohu pri udržiavaní bezpečnosti a integrity virtuálnych stretnutí. Majú k dispozícii komplexnú sadu kontrol určených na správu prístupu účastníkov, overovanie totožnosti a ochranu obsahu stretnutí:
- Ovládacie prvky v lobby schôdze – Hostitelia môžu prijať alebo odstrániť účastníkov čakajúcich v lobby, čo zoskupuje používateľov ako interných, externých alebo neoverených hostí. To umožňuje preverenie účastníkov pred vstupom.
- Uzamknutie schôdze – Hostitelia môžu schôdzu manuálne uzamknúť alebo odomknúť, aby zabránili novým účastníkom v pripojení sa po jej začatí. Stretnutia je tiež možné nastaviť tak, aby sa automaticky uzamkli po uplynutí určitého času (0, 5, 10, 15 alebo 20 minút).
- Ochrana heslom – Naplánované stretnutia sú predvolene chránené heslom. Hostitelia môžu vynútiť heslá pre účastníkov, ktorí sa pripájajú prostredníctvom telefónu alebo systémov videokonferencií.
- Funkcia automatického prijímania – Hostitelia môžu povoliť overeným, pozvaným používateľom a miestnostiam pripojiť sa k schôdzkam alebo ich začať bez zásahu hostiteľa, zatiaľ čo nepozvaní používatelia čakajú v hale alebo sú blokovaní.
- Správa účastníkov – Organizátori môžu kedykoľvek počas schôdze vylúčiť účastníkov, aby odstránili nechcených účastníkov.
- Pripojiť sa pred ovládaním hostiteľa – Hostitelia môžu povoliť alebo zakázať možnosť pre účastníkov pripojiť sa k schôdzi pred príchodom hostiteľa. Z bezpečnostných dôvodov sa odporúča túto možnosť zakázať.
- Ovládanie stlmenia – Hostitelia môžu stlmiť alebo zapnúť zvuk účastníkov a ovládať, či sa účastníci môžu zapnúť sami, aby sa znížilo rušenie.
- Vstupné a výstupné tóny – Hostitelia môžu povoliť zvukové upozornenia, keď sa účastníci pripoja k schôdzi alebo ju opustia, aby mohli monitorovať účasť.
- Vodoznak – Hostitelia môžu povoliť vodoznak v zvuku a videu na identifikáciu zdroja nahrávok alebo snímok obrazovky, čím pomáhajú predchádzať úniku údajov.
- Overenie totožnosti – Hostitelia môžu účastníkov požiadať, aby zapli video alebo uviedli svoje meno, aby potvrdili totožnosť a overili účastníkov.
- Ovládanie ukončenia stretnutia – Hostitelia môžu ukončiť stretnutie pre všetkých účastníkov, aby sa zabezpečilo úplné ukončenie relácie.
Viac informácií nájdete v článku Najlepšie postupy pre zabezpečené stretnutia: hostitelia.
Možnosti zabezpečenia pre hostiteľov pri plánovaní stretnutia
Možnosti zabezpečenia pre hostiteľov pri plánovaní stretnutia
Boj proti novým bezpečnostným hrozbám – Deepfake User Personation
Hrozby deepfake v rámci Webex Meetings predstavujú významnú vznikajúcu bezpečnostnú výzvu. Deepfakes využívajú umelú inteligenciu na vytváranie vysoko realistického, ale falošného zvukového a obrazového obsahu, ktorý môže napodobňovať legitímnych účastníkov stretnutia. V kontexte platformy Webex Meetings by to mohlo umožniť škodlivým aktérom vydávať sa za dôveryhodné osoby, manipulovať s obsahom stretnutí alebo vykonávať útoky sociálneho inžinierstva, čo by mohlo viesť k neoprávnenému prístupu, únikom údajov alebo podvodom.
Webex obsahuje viacero bezpečnostných kontrol, ktoré pomáhajú zmierniť riziká spojené s neoprávneným prístupom a vydávaním sa za inú osobu. Patria sem ovládacie prvky v hale schôdze na overenie účastníkov pred vstupom, funkcie uzamknutia schôdze, aby sa zabránilo oneskorenému pripájaniu, vynútená ochrana heslom, výzvy na overenie identity účastníkov a vodoznaky zvuku a videa na sledovanie zdroja nahrávok alebo snímok obrazovky. Spolu s detekciou deepfake a prevenciou deepfake vytvárajú tieto opatrenia viacvrstvovú obranu, ktorá zvyšuje bezpečnosť stretnutí pred deepfake a inými sofistikovanými hrozbami, čím pomáha organizáciám chrániť citlivé informácie a udržiavať dôveru v ich prostredí virtuálnej spolupráce.
Detekcia hlbokých falošných správ
Spoločnosť Cisco nadviazala partnerstvo so spoločnosťami GetReel a Pindrop s cieľom integrovať pokročilé technológie detekcie deepfake a hlasovej autentifikácie s využitím umelej inteligencie do balíka Webex Suite. Táto integrácia umožňuje detekciu a blokovanie syntetického zvuku a videa v reálnom čase počas stretnutí bez nutnosti dodatočného hardvéru. Riešenie využíva viacfaktorovú analýzu rizík vrátane hlasovej biometrie, analytiky zariadení a správania a globálnych informácií o podvodoch na pasívne overenie účastníkov a identifikáciu pokusov o deepfake s vysokou presnosťou. Táto nepretržitá analýza na pozadí pomáha chrániť stretnutia pred podvodmi využívajúcimi umelú inteligenciu a zároveň zachováva bezproblémový používateľský zážitok.
Prevencia deepfake: Certifikáty totožnosti poskytnuté zákazníkom
Zero Trust End-to-End identita a prevencia deepfakeov
Certifikáty identity koncového používateľa poskytnuté zákazníkom sú základným kameňom predchádzania zosobneniu v rámci stretnutí Webex šifrovaných end-to-end (E2EE). Na rozdiel od tradičných mechanizmov blokovania deepfake, ktoré sa spoliehajú na analýzu audio a video streamov, tento prístup poskytuje kryptografické overenie identity v momente prístupu. Tento overený stav sa zobrazuje priamo v zozname účastníkov schôdze, čo poskytuje transparentnosť všetkým účastníkom.
Spoločnosť Webex rozšírila svoju podporu pre certifikáty spravované zákazníkmi – predtým dostupné na zariadeniach RoomOS – aj na aplikáciu Webex ako súčasť našej funkcie „Prevencia Deepfake“. Organizácie si môžu poskytovať a spravovať vlastné digitálne certifikáty vydané dôveryhodnými externými certifikačnými autoritami (CA) pomocou štandardných protokolov v odvetví, ako je ACME. Tieto certifikáty, založené na štandardoch X.509 a pároch kľúčov ECDSA P-256, poskytujú kryptografický dôkaz identity účastníkov počas stretnutí E2EE.
Overená identita od začiatku do konca a protokol MLS
Protokol Messaging Layer Security (MLS) využíva štandardné certifikáty X.509 na overovanie účastníkov stretnutia. Certifikát je digitálne podpísaný výpis od dôveryhodnej certifikačnej autority, ktorý overuje identitu držiteľa podpisového kľúča. Účastníci získajú tieto certifikáty dvoma hlavnými spôsobmi:
- Spravované zariadenia (certifikáty poskytnuté zákazníkom)– Pre stolné počítače a mobilné klienty spravované organizáciou je možné na zariadenie nainštalovať certifikát identity od dôveryhodnej certifikačnej autority. Keď sa používateľ prihlási pomocou jednotného prihlásenia (SSO), aplikácia Webex načíta tento certifikát z úložiska dôveryhodných certifikátov operačného systému, aby predstavila overenú identitu používateľa. Tento proces je podporovaný aj pre videozariadenia Cisco registrované v cloude Webex.
- Predvolené (certifikáty poskytnuté spoločnosťou Webex)– Ak nie je k dispozícii žiadny certifikát poskytnutý zákazníkom, klient alebo zariadenie Webex automaticky použije certifikát vydaný certifikačnou autoritou Webex, ktorý odráža identitu overenú spoločnosťou Cisco.
Zdieľanie identít a záložný mechanizmus
Počas stretnutia každý účastník zdieľa svoj certifikát identity Webex a, ak je k dispozícii, aj certifikát identity poskytnutý zákazníkom so všetkými ostatnými účastníkmi. Pre zabezpečenie bezproblémového pripojenia sa koncový bod Webex riadi prísnou hierarchiou: Pri overovaní uprednostňuje certifikát poskytnutý zákazníkom; ak tento certifikát chýba alebo jeho overenie neprejde, systém sa automaticky vráti k certifikátu identity poskytnutému spoločnosťou Webex.
Zobrazenie stavu overenia identity používateľa
Keď sa účastníci pripoja k schôdzi pomocou aplikácie Webex alebo zariadení RoomOS s certifikátmi poskytnutými zákazníkom, ich identitu overia ostatní účastníci schôdze oproti vydávajúcej certifikačnej autorite. Vďaka tomu sú rozpoznaní iba autorizovaní používatelia, čo bráni útočníkom v vydávaní sa za legitímnych účastníkov, pretože tieto certifikáty sú jedinečne viazané na overené identity a spoločnosť Cisco ani sprostredkovatelia ich nemôžu sfalšovať.
Zoznam účastníkov stretnutia šifrovaného E2E zobrazuje stav overenia identity každého používateľa:
- Overené s nulovou dôverou v E2E (
domain.com ) – Pri použití certifikátu identity poskytnutého zákazníkom sa doména účastníka zobrazí modrým textom. Toto označuje skutočnú overenú identitu E2E, ktorú spoločnosť Cisco nemôže ovplyvniť. Napríklad v zozname účastníkov schôdze môžete vidieť, že „Kevin“ má overenú e-mailovú adresu z example.com, ktorá je zobrazená modrou farbou. - Webex-Overené (
domain.com) – Certifikáty vydané certifikačnou autoritou Webex poskytujú obmedzenejšiu úroveň ochrany. Hoci je to lepšie ako žiadna ochrana identity, títo účastníci nie sú označení ako „overení E2E s nulovou dôverou“. Namiesto toho sa ich stav identity zobrazuje sivým textom, čo znamená, že identitu overila certifikačná autorita Webex. - Neoverený hosťujúci používateľ (
Neoverené) – Hoci identita hosťujúcich účastníkov nie je overená (pretože neexistuje žiadny proces prihlásenia), stále potrebujú certifikát na pripojenie sa ku skupine MLS pre hovor alebo stretnutie. Tento certifikát vydáva certifikačná autorita Webex a ako používateľské meno používa „anonymous“.
Bezpečnostný kód stretnutia odvodený z kryptografického stavu všetkých účastníkov navyše pomáha odhaliť útoky typu „osoba v strede“ tým, že umožňuje účastníkom overiť, či všetci zdieľajú rovnaký zabezpečený kontext stretnutia. Kombináciou kryptografického overovania identity s end-to-end šifrovaním ponúka táto funkcia „Deepfake prevention“ robustnú ochranu pred hrozbami zo strany iného používateľa a syntetických médií, čím chráni integritu a dôvernosť stretnutí v aplikácii Webex aj zariadeniach s operačným systémom RoomOS.
Správa zavádzania certifikátov
Organizácie môžu zjednodušiť zavádzanie a správu týchto certifikátov identity koncových používateľov poskytovaných zákazníkmi ich inštaláciou do zariadení spravovaných spoločnosťou pomocou aplikácií Správa mobilných zariadení (MDM), Správa mobilných aplikácií (MAM) alebo Správa podnikovej mobility (EMM). Tieto platformy správy umožňujú IT správcom centrálne poskytovať, konfigurovať a kontrolovať certifikáty a súvisiace bezpečnostné politiky v širokej škále zariadení, či už ide o zariadenia vlastnené spoločnosťami alebo osobami. Napríklad Microsoft Intune podporuje funkcie MDM aj MAM, ktoré umožňujú organizáciám nasadiť a spravovať aplikáciu Webex a jej konfigurácie zabezpečenia vrátane certifikátov identity na spravovaných zariadeniach. Podobne Cisco Meraki Systems Manager poskytuje funkcie MDM na registráciu zariadení, odosielanie konfiguračných profilov a nasadzovanie certifikátov na zabezpečenie dôveryhodného stavu zariadenia. Využitie týchto riešení správy znižuje administratívne náklady, zjednodušuje správu životného cyklu certifikátov a zlepšuje bezpečnostné nastavenie pre stretnutia Webex E2EE pomocou funkcií „Deepfake prevention“.
Správa identít Webex
Webex využíva na správu identít používateľov architektúru nulovej dôvery – „nikdy nedôveruj, vždy overuj“. Vďaka využitiu štandardných protokolov (SAML 2.0, OIDC, OAuth 2.0 a SCIM 2.0) zaisťuje Webex bezpečnú, škálovateľnú a automatizovanú kontrolu prístupu. Táto časť načrtáva technický rámec pre integráciu poskytovateľov identít (IdP) a udržiavanie bezpečného prostredia pre spoluprácu.
Tri piliere identity
Efektívna správa identít a prístupov (IAM) pre Webex sa spolieha na:
- Poskytovanie (CRUD) – Správa životných cyklov používateľov (vytvorenie, čítanie, aktualizácia, odstránenie) s cieľom zabezpečiť, aby „zdroj pravdy“ zodpovedal platforme pre spoluprácu.
- Autentifikácia (AuthN) – overenie identity používateľa prostredníctvom zabezpečených prihlasovacích údajov alebo tokenov.
- Autorizácia (AuthZ) – Definovanie podrobných povolení a úrovní prístupu k rozhraniu API po autentifikácii.
Poskytovanie & Riadenie životného cyklu
Webex podporuje niekoľko metód na synchronizáciu používateľov a skupín:
- SCIM 2.0— Preferovaný cloudový štandard. Automatizuje životný cyklus používateľa a zabezpečuje, že odhlásenie v IdP automaticky zruší prístup k Webexu.
- Directory Connector– Nástroj od spoločnosti Cisco pre hybridné prostredia, ktorý prepája lokálnu službu Active Directory (AD) s cloudom Webex.
- Poskytovanie služieb založené na rozhraní API– Používa rozhranie Webex „People API“ na programové vytváranie používateľov a prideľovanie licencií v zložitých prostrediach.
- Starší protokol LDAP— Podporované pre lokálne adresáre (napr. CUCM), hoci menej optimalizované pre modernú cloudovú prevádzku.
Autentifikácia & Autorizačné rámce
- Autentifikácia (AuthN):
- SAML 2.0— Podnikový štandard pre jednotné prihlásenie (SSO). Webex vystupuje ako poskytovateľ služieb (SP) a overuje XML tvrdenia od firemného poskytovateľa identity.
- OIDC (OpenID Connect)— Moderná, ľahká vrstva identity postavená na OAuth 2.0 s použitím webových tokenov JSON (JWT). Podporuje „URL adresy vyhľadávania“ pre automatickú konfiguráciu.
- Autorizácia (AuthZ):
- OAuth 2.0—Spravuje prístup k API prostredníctvom krátkodobých prístupových tokenov (definujúcich rozsahy) a dlhodobých obnovovacích tokenov. Pre verejných klientov zabezpečuje zabezpečenie prostredníctvom PKCE (Proof Key for Code Exchange).
Integrácia & Stratégie viacerých poskytovateľov identity
Webex poskytuje špecializované spôsoby pre bezproblémovú integráciu:
- Sprievodca zadaním ID– Odporúčaná cesta pre prostredia spoločnosti Microsoft. Používa rozhranie Microsoft Graph API na pokročilú synchronizáciu atribútov (avatary, hierarchie) a automatizuje... OIDC/SAML konfigurácia.
- Duo Security– Pridáva „Continuous Identity Security“ overovaním stavu zariadenia a povolením MFA odolného voči phishingu.
Podpora viacerých poskytovateľov identity:Webex umožňuje organizáciám zjednotiť viacerých nezávislých poskytovateľov identity (IdP) v rámci jedného Control Hubu.
- Prípady použitia – fúzie, akvizície alebo decentralizované IT oddelenia.
- Smerovanie – Žiadosti o autentifikáciu sú smerované na základe domén alebo skupín používateľov.
- Zohľadnenie – Vyžaduje si prísnu koordináciu na udržanie konzistentných bezpečnostných politík vo všetkých federovaných zdrojoch.
Príklad najbežnejších integrácií identít IdP s Webexom:
|
Platforma IdP |
Protokol SSO |
Podpora SCIM |
|---|---|---|
|
ID vstupu do Microsoftu |
SAML 2.0, OIDC |
Áno |
|
Okta |
SAML 2.0, OIDC |
Áno |
|
PingFederate |
SAML 2.0, OIDC |
Áno |
|
Aplikácie Google |
SAML 2.0 |
Nie (podporované JIT) |
|
ADFS |
SAML 2.0 |
Nie |
Najlepšie postupy a odolnosť
- Obnova SSO – Vždy použite vstavaný odkaz „Obnova SSO“ v aplikácii Control Hub na obídenie SSO pomocou jednorazového hesla (OTP), ak konfigurácia IdP zlyhá.
- Správa certifikátov – Monitorovanie expirácie certifikátu SAML. Sprievodca SSO automatizuje výmenu metadát, čím znižuje manuálne chyby.
- Riešenie problémov – Ak sa vyskytnú problémy s overovaním, použite nástroj SAML Tracer na kontrolu tvrdení XML a overenie formátov NameID.
- Bezpečnostný stav – Pravidelne ukončujte podporu starších typov grantov a zabezpečte implementáciu PKCE pre všetky integrácie verejných klientov.
Záver – Identita pre stretnutia Webex
Robustná stratégia identity je proces s nepretržitým životným cyklom. Kombináciou SCIM pre poskytovanie, OIDC/SAML pre autentifikáciu a OAuth pre autorizáciu môžu organizácie zabezpečiť bezpečný a bezproblémový zážitok pre používateľov a zároveň si zachovať prísnu administratívnu kontrolu.
Bezpečnostný model Webexu
Spoločnosť Cisco je naďalej pevne odhodlaná udržať si vedúce postavenie v oblasti cloudovej bezpečnosti. Organizácia pre bezpečnosť a dôveru spoločnosti Cisco spolupracuje s tímami v celej našej spoločnosti na budovaní bezpečnosti, dôvery a transparentnosti v rámci, ktorý podporuje návrh, vývoj a prevádzku základných infraštruktúr s cieľom splniť najvyššie úrovne bezpečnosti vo všetkom, čo robíme.
Táto organizácia sa tiež venuje poskytovaniu informácií našim zákazníkom, ktoré potrebujú na zmiernenie a riadenie kybernetických bezpečnostných rizík.
Bezpečnostný model Webexu (obrázok 8) je postavený na rovnakých bezpečnostných základoch, ktoré sú hlboko zakorenené v procesoch spoločnosti Cisco.
Organizácia Webex dôsledne dodržiava základné prvky pre bezpečný vývoj, prevádzku a monitorovanie služieb Webex. Niektoré z týchto prvkov rozoberieme v tomto dokumente.

Zabezpečenie a dôvera spoločnosti Cisco
Životný cyklus bezpečného vývoja spoločnosti Cisco
V spoločnosti Cisco nie je bezpečnosť druhoradá. Ide o disciplinovaný prístup k budovaniu a poskytovaniu produktov a služieb svetovej triedy od základov. Všetky tímy vývoja produktov Cisco® sú povinné dodržiavať Cisco Secure Development Lifecycle. Ide o opakovateľný a merateľný proces určený na zvýšenie odolnosti a dôveryhodnosti produktov Cisco. Kombinácia nástrojov, procesov a školení zameraných na zvyšovanie povedomia zavedených vo všetkých fázach životného cyklu vývoja pomáha zabezpečiť hĺbkovú ochranu. Poskytuje tiež holistický prístup k odolnosti produktu. Tím pre vývoj produktov Webex s nadšením sleduje tento životný cyklus v každom aspekte vývoja produktu.
Prečítajte si viac o Bezpečnom vývojovom životnom cykle.
Základné bezpečnostné nástroje Cisco
Organizácia Cisco pre bezpečnosť a dôveru poskytuje proces a potrebné nástroje, ktoré umožňujú každému vývojárovi zaujať konzistentný postoj pri rozhodovaní o bezpečnosti.
Vyhradené tímy na vývoj a poskytovanie takýchto nástrojov odstraňujú neistotu z procesu vývoja produktu.
Medzi príklady nástrojov patria:
- Základné požiadavky na bezpečnosť produktov (PSB), ktoré musia produkty spĺňať
- Nástroje na tvorbu hrozieb používané počas modelovania hrozieb
- Pokyny pre kódovanie
- Overené alebo certifikované knižnice, ktoré môžu vývojári použiť namiesto písania vlastného bezpečnostného kódu
- Nástroje na testovanie bezpečnostných zraniteľností (pre statickú a dynamickú analýzu) používané po vývoji na testovanie bezpečnostných chýb
- Sledovanie softvéru, ktoré monitoruje knižnice od spoločností Cisco a tretích strán a upozorňuje produktové tímy na zistenie zraniteľnosti
Organizačná štruktúra, ktorá zabezpečuje bezpečnosť v procesoch spoločnosti Cisco
Spoločnosť Cisco má špecializované oddelenia, ktoré sa zaoberajú zavádzaním a riadením bezpečnostných procesov v celej spoločnosti. Aby spoločnosť Cisco neustále držala krok s bezpečnostnými hrozbami a výzvami, spolieha sa na:
- Cloudový tím pre informačnú bezpečnosť (InfoSec) od spoločnosti Cisco
- Tím pre reakciu na bezpečnostné incidenty produktov Cisco (PSIRT)
- Zdieľaná zodpovednosť za bezpečnosť
Cisco InfoSec Cloud
Tento tím, vedený hlavným bezpečnostným riaditeľom pre cloud, je zodpovedný za poskytovanie bezpečného prostredia Webex pre našich zákazníkov. Spoločnosť InfoSec to dosahuje definovaním a presadzovaním bezpečnostných procesov a nástrojov pre všetky funkcie zapojené do dodávania Webexu našim zákazníkom.
Okrem toho Cisco InfoSec Cloud spolupracuje s ďalšími tímami v rámci spoločnosti Cisco s cieľom reagovať na akékoľvek bezpečnostné hrozby pre službu Webex.
Spoločnosť Cisco InfoSec je tiež zodpovedná za neustále zlepšovanie bezpečnostného systému spoločnosti Webex.
Tím pre reakciu na bezpečnostné incidenty produktov Cisco (PSIRT)
Cisco PSIRT je špecializovaný globálny tím, ktorý riadi prítok, vyšetrovanie a hlásenie bezpečnostných problémov súvisiacich s produktmi a službami spoločnosti Cisco. PSIRT používa na publikovanie informácií rôzne médiá v závislosti od závažnosti bezpečnostného problému. Typ hlásenia sa líši v závislosti od nasledujúcich podmienok:
- Existujú softvérové záplaty alebo riešenia na riešenie zraniteľnosti alebo sa plánuje následné zverejnenie opráv kódu na riešenie zraniteľností s vysokou závažnosťou.
- PSIRT zaznamenal aktívne zneužívanie zraniteľnosti, ktorá by mohla viesť k väčšiemu riziku pre zákazníkov spoločnosti Cisco. PSIRT môže v tomto prípade urýchliť zverejnenie bezpečnostného oznámenia popisujúceho zraniteľnosť bez toho, aby boli k dispozícii všetky záplaty.
- Verejné povedomie o zraniteľnosti ovplyvňujúcej produkty Cisco môže viesť k väčšiemu riziku pre zákazníkov spoločnosti Cisco. PSIRT môže opäť upozorniť zákazníkov, a to aj bez úplnej dostupnosti záplat.
Vo všetkých prípadoch PSIRT zverejňuje minimálne množstvo informácií, ktoré koncoví používatelia budú potrebovať na posúdenie dopadu zraniteľnosti a na prijatie krokov potrebných na ochranu svojho prostredia. PSIRT používa stupnicu Common Vulnerability Scoring System (CVSS) na hodnotenie závažnosti zverejneného problému. PSIRT neposkytuje podrobnosti o zraniteľnostiach, ktoré by mohli niekomu umožniť vytvoriť zneužitie.
Viac informácií o PSIRT nájdete v článku Cisco Product Security Incident Response Team.
Zodpovednosť za bezpečnosť
Hoci za bezpečnosť zodpovedá každý člen skupiny Webex, hlavné pravidlá sú nasledovné:
- Hlavný bezpečnostný riaditeľ, cloud
- Viceprezident a generálny riaditeľ, Cisco Cloud Collaboration Applications
- Viceprezident pre inžinierstvo, aplikácie Cisco Cloud Collaboration
- Viceprezident pre produktový manažment, aplikácie Cisco Cloud Collaboration
Interné a externé penetračné testy
Skupina Webex pravidelne vykonáva prísne penetračné testovanie s využitím interných hodnotiteľov. Okrem vlastných prísnych interných postupov spoločnosť Cisco InfoSec zapája aj viacero nezávislých tretích strán, ktoré vykonávajú prísne audity interných politík, postupov a aplikácií spoločnosti Cisco. Tieto audity sú navrhnuté tak, aby overovali bezpečnostné požiadavky kritické pre komerčné aj vládne aplikácie. Spoločnosť Cisco tiež využíva externých dodávateľov na vykonávanie priebežných, hĺbkových penetračných testov a hodnotení služieb s asistenciou kódu. V rámci zapojenia tretia strana vykonáva nasledujúce bezpečnostné hodnotenia:
- Identifikácia kritických zraniteľností aplikácií a služieb a navrhovanie riešení
- Odporúčanie všeobecných oblastí pre architektonické vylepšenia
- Identifikácia chýb v kódovaní a poskytovanie poradenstva na zlepšenie kódovacích postupov
Externí hodnotitelia spolupracujú priamo s technickým tímom spoločnosti Webex, aby vysvetlili zistenia a overili nápravné opatrenia. Informácie o atestácii penetračným testom nájdete v balíku listov o dôveryhodnosti pre Webex Meetings.
Zabezpečenie dátového centra Webex
Webex je riešenie typu softvér ako služba (SaaS) poskytované prostredníctvom služby Webex Cloud, čo je vysoko bezpečná platforma na poskytovanie služieb s popredným výkonom, integráciou, flexibilitou, škálovateľnosťou a dostupnosťou v odvetví. Webex Cloud je komunikačná infraštruktúra vytvorená špeciálne pre webovú komunikáciu v reálnom čase.
Konferencie Webex využívajú prepínacie zariadenia umiestnené vo viacerých dátových centrách po celom svete. Väčšina cloudových služieb Webex sa používa na prevádzku dátových centier spoločnosti Cisco. Na poskytovanie ďalších služieb v súkromných cloudových inštanciách sa používajú aj dátové centrá Amazon Web Services (AWS) a Microsoft Azure, ktoré sú kompatibilné s normami SOC2 a ISO. Tieto dátové centrá sú strategicky umiestnené v blízkosti hlavných prístupových bodov na internet a na smerovanie prevádzky po celom svete využívajú vyhradené optické káble s vysokou šírkou pásma.
Spoločnosť Cisco okrem toho prevádzkuje sieťové lokality PoP (Point-of-Presence), ktoré umožňujú pripojenia k chrbticovej sieti, peering na internete, globálne zálohovanie lokalít a technológie vyrovnávacej pamäte s cieľom zvýšiť výkon a dostupnosť pre koncových používateľov.
Fyzická bezpečnosť
Fyzické zabezpečenie v dátovom centre zahŕňa video dohľad nad zariadeniami a budovami a vynútenú dvojfaktorovú identifikáciu pre vstup. V dátových centrách spoločnosti Cisco je prístup riadený kombináciou čítačiek odznakov a biometrických kontrol. Okrem toho, environmentálne kontroly (napríklad teplotné senzory a protipožiarne systémy) a infraštruktúra pre kontinuitu služieb (ako napríklad záložné napájanie) pomáhajú zabezpečiť, aby systémy fungovali bez prerušenia.
Servery dátových centier sú rozdelené do „zón dôveryhodnosti“ na základe citlivosti infraštruktúry. Napríklad databázy sú „uzavreté v klietkach“, sieťová infraštruktúra má vyhradené miestnosti a všetky stojany s vybavením sú uzamknuté. Do dátových centier môžu vstúpiť iba bezpečnostní pracovníci spoločnosti Cisco a oprávnení návštevníci v sprievode pracovníkov spoločnosti Cisco.
Produkčná sieť spoločnosti Cisco je vysoko dôveryhodná sieť: Len veľmi málo ľudí s vysokou úrovňou dôvery má prístup k sieti.
Bezpečnosť infraštruktúry a platformy
Zabezpečenie platformy zahŕňa zabezpečenie siete, systémov a celého dátového centra Webex. Všetky systémy pred nasadením do produkčného prostredia prechádzajú dôkladnou bezpečnostnou kontrolou a overením akceptovateľnosti, ako aj pravidelným priebežným posilňovaním, aktualizáciami bezpečnostných záplat a skenovaním a hodnotením zraniteľností.
Servery sú zabezpečené pomocou pokynov pre technickú implementáciu zabezpečenia (STIG) publikovaných Národným inštitútom pre štandardy a technológie (NIST). Firewally chránia perimetr siete. Zoznamy riadenia prístupu (ACL) oddeľujú rôzne bezpečnostné zóny. Sú zavedené systémy detekcie narušenia (IDS) a aktivity sú priebežne zaznamenávané a monitorované. V celom Webexe sa vykonávajú denné interné a externé bezpečnostné kontroly. Všetky systémy sú v rámci pravidelnej údržby zosilnené a opravené. Okrem toho sa nepretržite vykonávajú skenovania a hodnotenia zraniteľností.
Kontinuita služieb a obnova po havárii sú kľúčovými súčasťami plánovania bezpečnosti. Dizajn dátových centier Cisco s globálnymi zálohami lokalít a vysokou dostupnosťou pomáha umožniť geografické prepnutie služieb Webex. Neexistuje jediný bod zlyhania.
Ochrana osobných údajov Webexu
Spoločnosť Webex berie ochranu údajov zákazníkov vážne. Informácie o zákazníkoch zhromažďujeme, používame a spracovávame iba v súlade s Vyhlásením o ochrane osobných údajov spoločnosti Cisco a Zverejnením ponuky Webex Meetings.
Služba je vytvorená s ohľadom na súkromie a je navrhnutá tak, aby sa dala používať v súlade s globálnymi požiadavkami na ochranu súkromia vrátane všeobecného nariadenia EÚ o ochrane údajov (GDPR), kalifornského zákona o ochrane súkromia spotrebiteľov (CCPA), kanadského zákona o ochrane osobných údajov a elektronických dokumentov (PIPEDA), zákona o ochrane osobných zdravotných informácií (PHIPA), zákona o prenosnosti a zodpovednosti zdravotného poistenia (HIPAA) a zákona o rodinných vzdelávacích právach a ochrane súkromia (FERPA).
Administratívne údaje
Informácie o zamestnancoch alebo zástupcoch zákazníka alebo inej tretej strany, ktoré spoločnosť Cisco zhromažďuje a používa na účely správy alebo riadenia dodávok produktov alebo služieb spoločnosťou Cisco alebo na účely správy alebo riadenia účtu zákazníka alebo tretej strany na vlastné obchodné účely spoločnosti Cisco.
Administratívne údaje môžu zahŕňať meno, adresu, telefónne číslo, e-mailovú adresu a informácie o zmluvných záväzkoch medzi spoločnosťou Cisco a treťou stranou, či už zhromaždené pri prvej registrácii alebo neskôr v súvislosti so správou alebo administráciou produktov alebo služieb spoločnosti Cisco.
Administratívne údaje môžu zahŕňať aj názov stretnutia, čas a ďalšie atribúty stretnutí vedených na Webexe zamestnancami alebo zástupcami zákazníka. Medzi ďalšie príklady administratívnych údajov môže patriť názov stretnutia, čas stretnutia a ďalšie atribúty stretnutí hostovaných na Webexe.
Údaje o zákazníkoch
Patria sem všetky údaje (vrátane textových, zvukových, video, obrazových súborov a nahrávok), ktoré spoločnosti Cisco poskytne zákazník v súvislosti s používaním produktov alebo služieb spoločnosti Cisco zákazníkom, alebo ktoré spoločnosť Cisco vyvinie na základe konkrétnej žiadosti zákazníka podľa pracovného zápisu alebo zmluvy.
Údaje o zákazníkoch zahŕňajú aj súbory protokolov, konfigurácie alebo firmvéru a výpisy základných dát.
Sú to údaje získané z produktu alebo služby a poskytnuté spoločnosti Cisco, ktoré nám pomôžu vyriešiť problém v súvislosti so žiadosťou o podporu. Údaje o zákazníkoch nezahŕňajú administratívne údaje, údaje o podpore ani telemetrické údaje.
Údaje o podpore
Informácie, ktoré spoločnosť Cisco zhromažďuje, keď zákazník odošle žiadosť o podporné služby alebo iné riešenie problémov, vrátane informácií o hardvéri alebo softvéri. Zahŕňa podrobnosti týkajúce sa incidentu podpory, ako sú napríklad overovacie informácie, informácie o stave produktu, systému a údajov z registra o inštaláciách softvéru a konfiguráciách hardvéru a súbory na sledovanie chýb. Údaje o podpore nezahŕňajú protokoly, konfiguračné súbory ani súbory firmvéru, ani súbory základných údajov prevzaté z produktu a poskytnuté nám na pomoc pri riešení problému v súvislosti so žiadosťou o podporu, pričom všetky tieto údaje sú príkladmi údajov o zákazníkoch.
Telemetrické údaje
Informácie generované prístrojovými a protokolovacími systémami, vytvorené používaním a prevádzkou produktu alebo služby.
Všetky údaje zhromaždené v cloude Webex sú chránené niekoľkými vrstvami robustných bezpečnostných technológií a procesov. Nižšie sú uvedené príklady kontrol umiestnených v rôznych vrstvách operácií Webexu na ochranu údajov zákazníkov:
- Kontrola fyzického prístupu— Fyzický prístup je riadený pomocou biometrických údajov, preukazov a video dohľadu. Prístup do dátového centra vyžaduje schválenia a je riadený prostredníctvom elektronického systému predaja lístkov.
- Riadenie prístupu k sieti— Perimetr siete Webex je chránený firewallmi. Akákoľvek sieťová prevádzka vstupujúca do dátového centra Webex alebo z neho vychádzajúca je nepretržite monitorovaná pomocou systému detekcie narušenia (IDS). Sieť Webex je tiež rozdelená do samostatných bezpečnostných zón. Prevádzka medzi zónami je riadená firewallmi a zoznamami riadenia prístupu (ACL).
- Monitorovanie a riadenie infraštruktúry— Každá zložka infraštruktúry vrátane sieťových zariadení, aplikačných serverov a databáz je prísne dodržiavaná. Taktiež sú predmetom pravidelných kontrol s cieľom identifikovať a riešiť akékoľvek bezpečnostné problémy.
- Kryptografické kontroly– Ako už bolo uvedené, všetky údaje do a z dátového centra Webex do cloudovo registrovaných aplikácií Webex a zariadení Webex sú šifrované, s výnimkou prevádzky PSTN a nešifrovaných údajov. SIP/H323 videozariadenia v rámci stretnutia s podporou cloudu. Okrem toho sú kritické údaje uložené vo Webexe, ako napríklad heslá, šifrované.
Zamestnanci spoločnosti Cisco nemajú prístup k údajom zákazníkov, pokiaľ si o prístup nepožiada zákazník z dôvodov podpory. Prístup k systémom je v tomto prípade povolený manažérom iba v súlade so zásadou „rozdelenia povinností“. Udeľuje sa iba na základe nevyhnutnej potreby a s úrovňou prístupu potrebnou na vykonanie danej práce. Prístup zamestnancov k týmto systémom sa tiež pravidelne kontroluje z hľadiska súladu s predpismi. Zamestnanci s takýmto prístupom sú povinní absolvovať každoročné školenie Medzinárodnej organizácie pre normalizáciu (ISO) 27001 o informačnej bezpečnosti.
Okrem týchto špecializovaných kontrol každý zamestnanec spoločnosti Cisco prechádza previerkou, podpisuje dohodu o mlčanlivosti (NDA) a absolvuje školenie o kódexe obchodného správania (COBC).
Zákon o prenosnosti a zodpovednosti zdravotného poistenia (HIPAA)
Spoločnosť Cisco môže poskytnúť informácie týkajúce sa funkčnosti, technológie a zabezpečenia systému Webex. Subjekt, na ktorý sa vzťahuje zákon HIPAA, by sa musel poradiť so svojím vlastným právnym zástupcom, aby zistil, či sú funkcie Webexu v súlade s jeho obchodnými procesmi a pripravené na GDPR.
Priemyselné štandardy a certifikácie
Okrem dodržiavania našich prísnych interných štandardov spoločnosť Webex tiež neustále udržiava overenia tretími stranami, aby preukázala svoj záväzok k informačnej bezpečnosti. Webex je:
- Certifikácia ISO 27001, 27017, 27018 a 27701
- Kontroly servisnej organizácie (SOC) 2 typu II auditované
- Certifikácia SOC 3
- Kódex správania v cloude
- CSTAR
- Osvedčenie katalógu kontrol zhody cloudových výpočtov (C5)
- Certifikované podľa FedRAMP (navštívte cisco.com/go/fedramp pre viac informácií, rozsah a dostupnosť)
Služba Webex s certifikáciou FedRAMP je dostupná iba pre zákazníkov z oblasti vlády a vzdelávania v USA.
Úplnú sadu dokumentov o bezpečnosti, ochrane osobných údajov a dodržiavaní predpisov vrátane podrobností o vyššie uvedených štandardoch a certifikáciách nájdete na portáli Cisco Trust Portal.