U ovom članku
Uvod
Šta ćete naučiti
Buduće karakteristike
Razvijanje Vebek raspoređivanja: Prioritet suvereniteta i bezbednosti nultog poverenja
Vebek bezbednosni okvir: Tri nivoa zaštite
Privatni Vebek sastanci
Vebek enkripcija i privatnost
dropdown icon
Kriptografija: Šifrovanje podataka u tranzitu
    TLS Cipher Suites
Post-kvantna sigurna kriptografija
Šifrovani Vebek mediji
Šifrovanje podataka u mirovanju: Webex Meetings
Tipovi sesija Vebek sastanaka
Bezbednost za zakazane Vebek sastanke i Vebek lične sobe za sastanke
Bezbednosna podešavanja sastanka za administratore
Kontrole deljenja sadržaja sastanka za administratore
Bezbednosne kontrole za domaćine Vebek sastanaka
Borba protiv novih bezbednosnih pretnji – Deepfake lažno predstavljanje korisnika
Deepfake detekcija
Deepfake prevencija: Korisnički sertifikati o identitetu
dropdown icon
Vebek upravljanje identitetom
    Zaključak - Identitet za Webex sastanke
Vebek sigurnosni model
Cisco bezbednost i poverenje
Bezbednost Vebek data centra
Vebek privatnost
Prilozi i reference
Tehnički dokument o bezbednosti Vebek Suite Meetings
list-menuU ovom članku
list-menuPovratne informacije?

Uvod

Vebek sastanci osnažuju globalne zaposlene i virtuelne timove da sarađuju u realnom vremenu, premošćujući udaljenost kako bi stvorili besprekorno iskustvo "u sobi". Organizacije u rasponu od komercijalnih preduzeća do vladinih agencija oslanjaju se na Vebex kako bi pojednostavile poslovne procese i postigle bolje rezultate u prodaji, marketingu, obuci, upravljanju projektima i funkcijama podrške.

Za ove organizacije, bezbednost nije samo karakteristika - to je osnovni zahtev. Bez obzira da li zakazujete sastanke, autentifikujete učesnike ili delite osetljive dokumente, saradnja mora biti zaštićena na svakoj dodirnoj tački.

Cisco podiže ovaj standard sa Ultra Secure Vebek sastancima. Ugradnjom Zero Trust arhitekture direktno u platformu, Cisco osigurava da je sigurnost svojstvena svakoj interakciji. Ovaj pristup uključuje:

  • Zero Trust End-to-End Encryption (E2EE) – Napredni protokoli za šifrovanje osiguravaju da sadržaj sastanka ostane privatan i nedostupan neovlašćenim stranama, uključujući i sam Cisco.
  • Zero Trust End-to-End Identity (E2EI) – Ova funkcija koristi sertifikate koje pružaju kupci za verifikaciju identiteta učesnika sastanka, pružajući robusnu odbranu od neovlašćenog pristupa i sofisticiranih deepfake napada.

Cisco čini sigurnost glavnim prioritetom tokom projektovanja, razvoja, primene i održavanja svojih mreža, platformi i aplikacija. Možete uključiti Vebek sastanke u svoje poslovne procese sa apsolutnim poverenjem, znajući da su vaši alati za saradnju dizajnirani da zadovolje čak i najrigoroznije zahteve za bezbednost i usklađenost.

Šta ćete naučiti

Ovaj rad opisuje sigurnosne karakteristike platforme za sastanke Vebek Suite (VSMP). On govori o tipovima sastanaka, opcijama primene, funkcijama, alatima, procesima i inženjeringu koji pomažu korisnicima da pouzdano sarađuju na Vebek-u.

Platforma za sastanke Vebek Suite uključuje:

  • Webex Meetings
  • Webex Webinars
  • Webex Edge Audio
  • Webex Cloud Connected audio
  • Webex Assistant
  • Glasanje (po Slido)

Ovi proizvodi su deo jedinstvenog Vebek Suite-a, koji integriše sastanke, pozive, poruke, belu tablu i još mnogo toga, pružajući besprekorno iskustvo saradnje. Platforma podržava kapacitete u rasponu od 2 do 1000 učesnika na sastanku, do 5000 učesnika na vebinarima i 100.000 gledalaca u vebcastovima, sa naprednim funkcijama kao što su pomoć AI, prevod u realnom vremenu i poboljšane bezbednosne kontrole. Vebek Suite je dostupan kroz različite modele kupovine, uključujući Enterprise Agreement i pretplate na imenovane korisnike, a nudi dodatne dodatke i integracije kako bi zadovoljio različite organizacione potrebe.

Buduće karakteristike

Neke karakteristike o kojima se govori u ovom dokumentu planirano je da budu opšte dostupne kasnije u CI 2026. Karakteristike označene simbolom slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS planirane su za isporuku u K3 CI26. Karakteristike označene simbolom slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKSslika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS planirane su za isporuku u K1 CI27. Molimo vas da kontaktirate svog menadžera naloga ako vam je potreban rani pristup ovim funkcijama.

Slika 1: Arhitektura platforme za sastanke Vebek Suite
Arhitektura platforme za sastanke Vebek Suite

Osnovne usluge i komponente Vebek sastanaka

  • Vebek sastanci su deo Vebek Suite-a, pružajući audio / video konferencije sa deljenjem sadržaja i mogućnostima veb konferencija.
  • Platforma uključuje više mikroservisa kao što su Meetings Service, Vebinar Service, Identiti Service, Recording Service, AI Assistant service, Analytics Service, Admin Service i Media Service.
  • Vebek sastanci podržavaju aplikacije i uređaje registrovane u oblaku, omogućavajući korisnicima da se pridruže sastancima sa različitih OS platformi i uređaja. Korisnici se takođe mogu pridružiti sastancima putem PSTN-a i sa krajnjim tačkama SIP-a.

Arhitektura i raspoređivanje

  • Usluge Vebek sastanaka su regionalizovane i replicirane u više nezavisnih centara za podatke kako bi se osigurala redundantnost i visoka dostupnost.
  • Medijske usluge su globalno distribuirane sa klasterima medijskih servera u svakom data centru, pružajući lokalnu i geografsku redundantnost.
  • Medijski serveri obrađuju glas, video i deljenje sadržaja, a mediji se obično šifriraju pomoću AES-256-GCM.
  • Arhitektura podržava šifrovanu signalizaciju preko TLS / HTTPS i šifrovanih medijskih tokova.

Vebek podržava pridruživanje sastancima sa više platformi i uređaja, uključujući:

  • Vebek desktop aplikacija na Vindovs, Mac i Linuk.
  • Vebek mobilna aplikacija na Androidu i iOS-u.
  • Vebek veb aplikacija koja koristi Chrome, Edge, Safari, Firefok i druge pretraživače.
  • Cisco sobni uređaji i stolni uređaji.
  • Nezavisne SIP standarde zasnovane na audio i video krajnjim tačkama.
  • PSTN uređaji.

Razvijanje Vebek raspoređivanja: Prioritet suvereniteta i bezbednosti nultog poverenja

Kako organizacije sve više daju prioritet suverenitetu podataka i rigoroznim bezbednosnim standardima, Vebek razvija svoje modele primene kako bi pružio veću kontrolu nad sadržajem sastanaka, osiguravajući da sigurnost nikada ne dolazi na račun funkcionalnosti.

Suverenitet Vebek kupaca

Kao odgovor na rastuću potražnju za prebivalištem podataka, Vebek je uveo poboljšane mogućnosti suvereniteta. Počevši od snimanja i uz podršku za više usluga koje dolaze, organizacije sada mogu da zadrže kontrolu nad sadržajem sastanka sa:

  • Lokalizovana obrada—Obrada sadržaja sastanka, kao što su snimci, u okviru sopstvene infrastrukture.
  • On-Premises Storage—Koristeći sopstvene usluge skladištenja datoteka za smeštaj osetljivih sredstava za sastanke, obezbeđujući da podaci ostanu unutar određenih geografskih ili organizacionih granica.

Ultra sigurni Vebek sastanci

Istorijski gledano, "Ultra Secure" funkcije, kao što je Zero Trust End-to-End Enkripcija (EKSNUMKSE), često su zahtijevale kompromis u funkcionalnosti sastanaka, jer su usluge sa dodatnom vrijednošću zasnovane na oblaku zahtijevale pristup ključevima za šifriranje, a samo ograničen broj tipova krajnjih tačaka mogao bi se pridružiti ovim sastancima. Vebek je eliminisao ovaj kompromis sa:

  • Zero-Trust bogat funkcijama - Webex je transformisao Zero Trust End-to-End Encrypted (E2EE) sastanke, dodajući funkcionalnost koja čini Zero Trust sastanke bogatim funkcijama. Podrška za veći broj tipova krajnjih tačaka pruža besprekorno iskustvo bez žrtvovanja alata neophodnih za modernu saradnju.
  • Zero Trust za standardne sastanke - Webex je integrisao Zero Trust E2EE mogućnosti direktno u standardne sastanke. Ovo osigurava da čak i svakodnevna saradnja može imati koristi od najviših nivoa sigurnosti, pružajući konzistentnu zaštitu u čitavom Vebek ekosistemu.

Jedinstven pristup saradnji

Integrišući suverenitet kupaca sa ovim naprednim mogućnostima Zero Trust EKSNUMKSEE, Vebek osnažuje organizacije da postignu dvostruki cilj: hosting visoko sigurnih, Zero Trust sastanaka unutar Vebek oblaka, zadržavajući potpunu kontrolu nad obradom i skladištenjem kritičnog sadržaja sastanka u prostorijama. Ova sinergija pruža fleksibilnost i sigurnost neophodnu za moderna poslovna okruženja vođena usklađenošću.

Vebek bezbednosni okvir: Tri nivoa zaštite

Vebek nudi tri nivoa sigurnih sastanaka, dizajniranih da se usklade sa strogim zahtevima za usklađenost, suverenitet i zaštitu podataka.

  1. Standardni sastanci—Obezbeđuje robusnu enkripciju za podatke u tranzitu i mirovanju. Iako ovi sastanci zadovoljavaju bezbednosne standarde preduzeća, oni ne koriste Zero Trust arhitekturu, jer infrastruktura oblaka zadržava mogućnost upravljanja ključevima za šifrovanje.
  2. Standardni sastanci sa adaptivnom bezbednošću—Poboljšava standardni model primenom dinamičkih bezbednosnih politika. Ovaj nivo daje prioritet upotrebi end-to-end enkripcije (EKSNUMKSEE) kad god to dozvoljavaju okruženje učesnika i mogućnosti krajnjih tačaka, balansirajući fleksibilnost sa povećanom sigurnošću.
  3. Zero Trust End-to-End Encrypted (E2EE) sastanci—Predstavlja najviši bezbednosni položaj. Osiguravajući da ključevi za šifrovanje generišu i upravljaju isključivo učesnici sastanka, ovaj model čini infrastrukturu oblaka "slepom" za medijski tok i sadržaj sastanka. Ova arhitektura sprovodi strogi integritet nultog poverenja, sprečavajući dešifrovanje na strani oblaka tokom trajanja sesije.

Hibridna infrastruktura i bezbednosna integracija

Organizacije mogu dodatno povećati ove sigurnosne nivoe primenom lokalnih Vebek usluga, kao što je Vebek Video Mesh Node. Ova integracija proširuje sigurnosni perimetar, omogućavajući konzistentan položaj nultog poverenja unutar Vebek oblaka, istovremeno pružajući nekoliko operativnih prednosti:

  • Optimizovano rutiranje medija – smanjuje kašnjenje održavanjem medijskog saobraćaja na lokalnom nivou, obezbeđujući visokokvalitetne performanse za lokalne krajnje tačke.
  • Lokalizovana isporuka usluga – Omogućava hostovanje određenih servisa za sastanke, kao što je lokalno snimanje, uz održavanje striktnog pridržavanja zahteva bezbednosti i suvereniteta.
  • Poboljšani bezbednosni perimetar – Olakšava bezbedan pristup internoj infrastrukturi sa niskim kašnjenjem, obezbeđujući da se integritet nultog poverenja održava čak i kada se integrišu hibridne komponente.
Standardni Vebek sastanci
Slika 2: Standardni Vebek sastanci

Standardni Vebek sastanci pružaju robusnu, profesionalnu uslugu video konferencije koja može da podrži sastanke sa učesnicima KSNUMKS-a. Ključne karakteristike uključuju breakout sesije, deljenje sadržaja, integrisani audio i video, asistent sa AI, prevođenje u realnom vremenu, snimanje sastanaka, ćaskanje, deljenje datoteka, bele table i integracije preduzeća. Platforma šifrira signalne i medijske tokove koristeći hop-bi-hop SRTP enkripciju, omogućavajući Vebek oblaku da dešifruje medije kako bi omogućio napredne usluge kao što su snimanje, transkripcija i AI funkcionalnosti.

Sadržaj sastanka kao što su snimci, transkripcije, bele table, ćaskanje i datoteke sigurno se čuvaju u Vebek oblaku, šifrovani sa AES-256-GCM i zaštićeni sistemom za upravljanje ključevima koji podržava hibridnu sigurnost podataka i opcije za donošenje sopstvenog ključa. Verifikacija identiteta je podržana standardnim metodama, uključujući Single Sign-On (DZS) i integraciju sa spoljnim provajderima identiteta. Pristupačnost obuhvata širok spektar krajnjih tačaka, uključujući SIP uređaje i PSTN korisnike, čineći rešenje pogodnim za korisnike kojima su potrebne sveobuhvatne funkcije sa integracijom usluga u oblaku i širokom kompatibilnošću uređaja. Administratori imaju kontrolu nad zadržavanjem sadržaja sastanka, kontrolom pristupa i funkcijama sastanaka putem Vebek Control Hub-a, pružajući centralizovano upravljanje, dijagnostiku i sigurnosni nadzor.

Standardni Vebek sastanci sa adaptivnom sigurnošću
Slika 3: Standardni Vebek sastanci sa adaptivnom sigurnošću

Standardni Vebek sastanci sa adaptivnom sigurnošću uključuju sve karakteristike standardnih Vebek sastanaka, poboljšane mogućnostima šifrovanja Zero Trust end-to-end. U ovom modelu, Vebek krajnje tačke koje podržavaju end-to-end enkripciju koriste protokol Messaging Laier Securiti (MLS) ( RFC 9420) za ključne pregovore i SFrame ( RFC 9605) za medijski transport. Ovaj pristup pruža dve ključne prednosti:

  • Zero Trust End-to-End Encryption—Kada svi učesnici i usluge podržavaju MLS i SFrame, ključevi za šifrovanje sastanaka se generišu i dele isključivo među učesnicima, sprečavajući Webex oblak ili bilo kog posrednika da dešifruje medijske tokove.

    Ako se pridruži krajnja tačka ili usluga koja ne podržava MLS i SFrame, Vebek dinamički uvodi SFrame-to-SRTP intervorking uslugu za pretvaranje između dva medijska formata. U ovom trenutku, bezbednosni položaj sastanka se menja od Zero Trust do Secure, jer Vebek dobija pristup ključevima za šifrovanje, omogućavajući krajnjim tačkama samo SRTP i Vebek cloud uslugama kao što su snimanje i AI Assistant da učestvuju. U međuvremenu, Vebek krajnje tačke nastavljaju da koriste MLS i SFrame.

  • Zero Trust End-to-End Identiti - Sve Vebex krajnje tačke koje koriste MLS razmenjuju sertifikate korisničkog identiteta tokom procesa pregovora o ključu sastanka. Ove sertifikate mogu izdati organizacije učesnika, omogućavajući identitete da se predstave i potvrđuju nezavisno od Vebek usluga. Ovaj oblik identiteta nultog poverenja osigurava da su učesnici oni za koje tvrde da su, štiteći od deepfake napada bez oslanjanja na usluge otkrivanja.
Zero Trust End-to-End šifrovani Vebek sastanci
Slika 4: Zero Trust End-to-End šifrovani Vebek sastanci

Vebek Zero Trust end-to-end šifrovani sastanci pružaju poboljšanu sigurnost kombinovanjem end-to-end enkripcije sa verifikovanim identitetom učesnika. Ovaj bezbednosni model koristi protokol Messaging Layer Securiti (MLS) za pregovaranje o ključevima i SFrame za medijski transport, osiguravajući da se ključevi za šifrovanje sastanaka generišu i dele isključivo među učesnicima. Kao rezultat toga, Vebek oblak ili bilo koji posrednik ne može dešifrovati medijske tokove, nudeći sigurnosni položaj Zero Trust.

Ključne karakteristike uključuju:

  • Zero Trust End-to-End Encryption—Svi učesnici podržavaju MLS i SFrame, ključevi za šifrovanje sastanaka ostaju dostupni samo njima, sprečavajući pristup oblaku ili provajderu usluga.
  • Zero Trust End-to-End Identity – Učesnici razmenjuju sertifikate o identitetu korisnika tokom ključnih pregovora, koje mogu izdati njihove organizacije. Ovo omogućava nezavisnu validaciju identiteta bez oslanjanja na Vebek usluge, štiteći od lažnog predstavljanja i deepfake napada.
  • Bezbednosna verifikacija—Bezbednosni kod sastanka izveden iz MLS paketa ključeva svih učesnika se prikazuje svim učesnicima. Odgovarajući kodovi potvrđuju da sastanak nije presretan ili neovlašteno presretan od strane napadača čoveka u sredini.
  • Podržane funkcije i ograničenja – Zero Trust sastanci podržavaju do 1000 učesnika, lokalno snimanje, ćaskanje na sastanku, prenos datoteka, belu tablu, napomene, daljinsku kontrolu radne površine i video / audio vodeni žig. Međutim, funkcije koje zahtevaju pristup oblaku dešifrovanim medijima, kao što su mrežno snimanje, transkripcija, AI asistent i PSTN ili SIP pozivi uređaja, nisu podržani. (Primjenom hibridne Veeks arhitekture, većina ovih ograničenja može se rešiti - vidi dole).
  • Verifikacija identiteta - Domaćini mogu da vide status verifikacije učesnika, razlikujući verifikovane identitete (preko eksternih ili Webex sertifikata) i neproverene korisnike, omogućavajući bolje upravljanje bezbednošću sastanaka.

Proširenje bezbednosne granice sa Video Mesh Node

Hibridne arhitekture i sigurnost za Vebek sastanke
Slika 5: Hibridne arhitekture i sigurnost za Vebek sastanke

Dodavanje Video Mesh čvora u organizaciju omogućava korisnicima da pružaju usluge sastanaka u prostorijama i omogućavaju njihovim lokalnim krajnjim tačkama da se pridruže bilo kojem sastanku Vebexa. Iz bezbednosne perspektive, integrisanje Video Mesh Node-a održava Zero Trust unutar Vebek oblaka, a istovremeno nudi paritet skoro karakteristika sa standardnim Vebek sastancima. Korisnici takođe imaju koristi od suvereniteta podataka, jer se usluge kao što su Video Mesh Node snimci sastanaka obrađuju i čuvaju u prostorijama.

Slika 6: Upoređivanje funkcija Zero Trust i Standard Meeting u Vebek implementaciji sa Video Mesh Node (VMN)

Funkcija

Vebek Pro (Standardni) sastanci sa lokalnim Video Mesh Node-om (VMN)

Vebek End-to-End šifrovani (Zero Trust) sastanci sa lokalnim Video Mesh Node-om (VMN)

Tip šifrovanja

Hop-bi-hop (TLS / SRTP)

End-to-End (MLS / S-Frame)

Kapacitet učesnika

Do 1.000

Do 1.000

Vebek aplikacija za radnu površinu

Podržano

Podržano

Vebek aplikacija za mobilne uređaje

Podržano

Podržano

Veb-aplikacija Webex

Podržano

Podržano slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKSslika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Vebk Veb SDK

Podržano

Podržano slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKSslika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Cisco video uređaji (registrovani u oblaku)

Podržano

Podržano

Vebek Calling IP telefoni (registrovani u oblaku)

Podržano

Podržano slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Cisco 9800 serija telefona Cisco 8875 serije telefona

Cisco video uređaji

(U prostorijama (SIP) CUCM registrovan)

Podržano

Podržani (VMN) slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Vebek pozivi IP telefoni

(U prostorijama (SIP) CUCM registrovan)

Podržano

Podržani (VMN) slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

PSTN

Podržano

Nije podržano - nije Zero Trust

Snimanje sastanka

Lokalno – Podržano (Vebek aplikacija) Webex Cloud – Podržano

U prostorijama – Podržano (VMN)

Lokalno - Podržano (Vebek aplikacija)

U prostorijama – Podržano (VMN) slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Cisco AI Assistant

Sažeci, transkripti, akcione stavke

Webex Cloud – Podržano

U prostorijama – Podržano (VMN)

slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKSslika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Webex Cloud – Podržano

U prostorijama – Podržano (VMN)

slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKSslika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Sobe za razbijanje

Podržano

Podržano slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Ugrađene aplikacije (npr. Slido)

Podržano

Podržano

Nije nulto poverenje

Lična soba za sastanke

Podržano

Podržano

Lobi i kontrole prijema

Podržano

Podržano

Pridružite se pre domaćina

Podržano

Podržano

Daljinsko upravljanje radnom površinom

Podržano

Podržano

Ćaskanje, Fajlovi, bele table, Napomene

Podržano

Podržano – nije uporno

Transkodiranje kada deljenje ekrana sa krajnjim tačkama podržava nižu rezoluciju video zapisa

Podržano

Nije podržano

Deljenje ekrana niske rezolucije koristi se za sve učesnike ako se sastanku pridruži krajnja tačka niske klase

Korišćenje end-to-end enkripcije Zero Trust može dodati nekoliko dodatnih sekundi za pridruživanje sastanku, ali pruža jasnu sigurnosnu garanciju — samo učesnici sastanka imaju pristup ključevima za šifrovanje sastanka, tako da sadržaj sastanka ne može biti dešifrovan od strane provajdera usluga ili drugih posrednika.

Rezime: Vebek sastanci i hibridni modeli primene

Kao što je prikazano u gornjem poređenju, primena Video Mesh Node-a (VMN) omogućava Zero Trust Vebek sastancima da postignu paritet sa standardnim Vebek sastancima. Iako sastanci Zero Trust ne podržavaju učesnike PSTN-a, veb-bazirana aplikacija Veb-a služi kao široko dostupna alternativa za end-to-end šifrovani pristup. Osim toga, VMN omogućava kancelarijskim radnicima koji koriste stolne telefone da se neprimetno pridruže sastancima Zero Trust.

Video Mesh Node takođe obezbeđuje suverenitet podataka za kritični sadržaj sastanka, uključujući snimke i - u bliskoj budućnosti - transkripte, rezimee i akcione stavke. Obradom i čuvanjem ovih podataka u prostorijama, VMN pruža korisnicima potpunu kontrolu nad njihovim informacijama uz održavanje Zero Trust arhitekture unutar Vebek oblaka.

Privatni Vebek sastanci

Ako vaša organizacija ima Video Mesh na vašoj mreži, vaš administrator može omogućiti privatne sastanke tako što će kontaktirati predstavnika naloga. Ova funkcija povećava sigurnost vašeg sastanka tako što prekida medije samo u vašim prostorijama. Kada zakažete privatni sastanak, mediji se uvek završavaju na čvorovima Video Mesh-a unutar vaše korporativne mreže bez kaskade oblaka. Dok privatni Vebek sastanci nude privatnost držeći medije samo u vašim prostorijama, oni takođe uvode ograničenja ograničavanjem učesnika sastanka samo na članove vaše organizacije i blokiranjem pristupa uslugama u oblaku kao što su snimanje i Cisco AI Assistant.

Za više detalja o privatnim Vebek sastancima i smernicama za dizajn za Vebek Edge Video Mesh, pogledajte Preferirana arhitektura za Vebek Edge Video Mesh.

Webex Meetings: Dodatne opcije hibridne primene
Slika 7: Webex Meetings: Dodatne opcije hibridne primene

Vebek nudi širok spektar hibridnih usluga koje omogućavaju organizacijama da iskoriste postojeća ulaganja u lokalnu infrastrukturu, a istovremeno imaju koristi od inovacija u oblaku, pružajući konzistentno korisničko iskustvo, poboljšanu sigurnost i fleksibilne opcije primene za Vebek sastanke i saradnju u celini. Ključne hibridne usluge dostupne za Vebek sastanke uključuju:

  • Video Mesh Media Nodes - Omogućite IP telefone i SIP krajnje tačke registrovane na Unified CM za slanje audio, video i sadržaja za deljenje ekrana na Webex Video Mesh klaster tokom sastanaka, poboljšavajući rutiranje i kvalitet medija.
  • Video Mesh Recording—Omogućava organizacijama da snimaju Vebek sastanke koristeći lokalnu infrastrukturu. Ovo osigurava da se svi podaci o snimanju obrađuju u Video Mesh Node-u i čuvaju lokalno, pružajući veću kontrolu nad prebivalištem i sigurnošću podataka.
  • Webex On-Premises AI usluge - Sažeci, transkripti i akcione stavke se obrađuju i čuvaju lokalno, pružajući veću kontrolu nad prebivalištem i sigurnošću podataka.
  • Hibridna usluga bezbednosti podataka - Omogućava organizacijama da čuvaju i upravljaju ključevima za šifrovanje Vebeksa u svom data centru u prostorijama radi poboljšane sigurnosti.
  • Call Service - Integracija postojećeg Cisco Unified Communications Manager-a ili druge lokalne kontrole poziva sa Webex oblakom, omogućavajući korisnicima da se neprimetno pridruže sastancima.
  • Calendar Service – Integracija sa podržanim kalendarskim okruženjima kako bi se omogućilo zakazivanje sastanaka sa bilo kog mesta bez dodataka.
  • Servis direktorijuma—Sinhronizacija korisničkih direktorijuma između lokalnog okruženja i okruženja u oblaku za dosledno upravljanje identitetom korisnika.
  • Webex Edge Audio i Vebek Edge Connect - Obezbedite na mreži VoIP puteve i namenske IP veze sa omogućenim KoS-om od korisničkih prostorija do Vebek oblaka, poboljšavajući kvalitet zvuka i smanjujući troškove zaobilazeći PSTN.

Vebek enkripcija i privatnost

Vebek sastanci osiguravaju robusnu sigurnost šifriranjem signalnih i medijskih podataka u tranzitu i mirovanju. Sve komunikacije između Vebek aplikacija, uređaja i usluga koriste TLS KSNUMKS ili kasnije sa jakim paketima za šifrovanje signalizacije za šifrovanje. Medijski tokovi - uključujući audio, video, deljenje ekrana i deljenje dokumenata - šifrovani su korišćenjem AES-256-GCM kao preferirane šifre.

Kriptografija: Šifrovanje podataka u tranzitu

Sve komunikacije između Vebek aplikacija registrovanih u oblaku, Vebek uređaja i Vebek usluga odvijaju se preko šifrovanih kanala. Vebek koristi TLS protokol sa verzijom KSNUMKS ili novijom sa paketima za šifrovanje visoke čvrstoće za signalizaciju.

Nakon što se sesija uspostavi preko TLS-a, svi medijski tokovi (audio, video, deljenje ekrana i deljenje dokumenata) su šifrovani.

Šifrovana Vebek signalizacija

Vebek usluge podržavaju TLS verzije 1.2 i 1.3, a TLS 1.3 je poželjan kada ga podržava krajnja tačka povezivanja. Ako klijent podržava samo TLS KSNUMKS, Vebek server bira najjači zajednički paket za šifrovanje koji nudi klijent. Za razliku od TLS 1.2, TLS 1.3 ne koristi izbor paketa za šifrovanje servera jer se oslanja na manji, kurirani skup modernih šifri. Ovaj dizajn pojednostavljuje proces selekcije, fokusirajući se više na poboljšanja performansi kao što je smanjenje ukupne dužine rukovanja, uz održavanje jake sigurnosti. Paketi za šifrovanje za TLS KSNUMKS i KSNUMKS koje koristi Vebek su dobro definisani i prioritetni kako bi se osigurala sigurna komunikacija.

TLS Cipher Suites

TLS KSNUMKS paketi za šifrovanje (TLS KSNUMKS serveri ne koriste redosled preferencija za izbor paketa)

Cipher Suite

Ključni protokol pregovaranja / generacije

TLS_AES_256_GCM_SHA384

ECDH SecP256r1MLKEM768 (ekv > 3072 bita RSA)

TLS_AES_128_GCM_SHA256

ECDH SecP256r1MLKEM768 (ekv > 3072 bita RSA)

TLS_CHACHA20_POLY1305_SHA256

ECDH SecP256r1MLKEM768 (ekv > 3072 bita RSA)

TLS KSNUMKS paketi za šifrovanje (apartmani u redosledu po želji servera)

Cipher Suite

Ključni protokol pregovaranja / generacije

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDH secp256r1 (ekv. 3072 bita RSA)

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDH secp256r1 (ekv. 3072 bita RSA)

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

ECDH secp256r1 (ekv. 3072 bita RSA)

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

ECDH secp256r1 (ekv. 3072 bita RSA)

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDH secp256r1 (ekv. 3072 bita RSA)

AES_256_CBC i AES_128_CBC šifrovane šifre su podržane kako bi se održala kompatibilnost sa nasleđenim sistemima, starijim pretraživačima i ugrađenim uređajima koji ne podržavaju moderne AEAD (Authenticated Encryption with Associated Data) šifre kao što su AES-GCM, npr. Internet Explorer 11 na Vindovs 7 i Windows 8.1, Safari 6/7/8 na ranim iOS i MacOS izdanjima koriste CBC bazirane šifre.

CHACHA20_POLY1305 je stream šifra koja ima nisku zavisnost od hardvera, što ga čini superiornom šifrom za korišćenje na mobilnim uređajima ili uređajima sa procesorima male snage.

Post-kvantna sigurna kriptografija

Post-kvantna kriptografija (PKC) je mera za budućnost koja deluje kao proaktivni štit protiv Harvest Nov Decrypt Later (HNDL) napada za podatke koji se danas prenose.

HNDL se oslanja na činjenicu da je trenutna asimetrična enkripcija (kao što su RSA i Diffie-Hellman) ranjiva na buduće kvantne računare. Napadači sada "žetve" ovaj saobraćaj, znajući da ga još ne mogu pročitati, ali se klade da će za 10 godina imati alate da ga otključaju.

PKC implementira matematičku "bravu" na ranjivim podacima. PKC koristi matematiku zasnovanu na rešetki ili hash koja je otporna i na klasične i na kvantne algoritme. Čak i ako napadač danas sakuplja PKC-šifrovane podatke, to im ostaje "crna kutija" zauvek, jer čak ni budući kvantni računar neće imati algoritam da ga razbije.

Većina HNDL napada cilja na Kei Ekchange (proces u kojem se dve strane slažu o tajnom ključu). Ako napadač danas uhvati razmenu ključeva koristeći nasleđene metode, oni mogu kasnije izvesti ključeve sesije i dešifrovati ceo razgovor.

Vebek TLS i MLS protokoli podržavaju post-kvantne mehanizme enkapsulacije ključeva (ML-KEM). Ovo osigurava da je prvo "rukovanje" između korisnika i Vebek oblaka kvantno otporno. Ako je razmena ključeva sigurna od kvantnih napada, ostatak šifrovane sesije ostaje siguran od retrospektivnog dešifrovanja.

Vebek TLS sa PKC podrškom slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Vebek oblak podržava ECDH-SecP256r1-MLKEM768 za inkapsulaciju ključeva unutar TLS 1.3 paketa za šifriranje. Ovaj hibridni mehanizam dogovora ključa integriše klasičnu razmenu ključeva (ECDH preko SecP256r1) sa kvantno otpornom enkapsulacijom ključeva (ML-KEM-768). Ovaj hibridni pristup obezbeđuje post-kvantnu sigurnost uz održavanje kompatibilnosti unazad, vraćajući se na klasični ECDH ako TLS KSNUMKS klijent ne podržava ML-KEM.

Korišćenje TLS KSNUMKS-a sa mehanizmima za enkapsulaciju post-kvantnih ključeva (PK-KEM) zavisi od operativnog sistema klijenta koji povezuje. Podržani sistemi uključuju Vindovs 11, macOS 14.4 (Sonoma), Linus (OpenSSL 3.5+), iOS 26 i Android 17.

Vebek MLS sa PKC podrškom slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS slika čekića koja prikazuje karakteristike planirane za isporuku u KKSNUMKSCIKSNUMKS

Protokol Messaging Laier Securiti (MLS) ( RFC 9420) je IETF-standardizovani, visoko efikasni okvir dizajniran za sigurnu end-to-end enkripciju u grupnim komunikacijama. Vebek integriše ECDH-SecP256r1-MLKEM768 u MLS kako bi obezbedio kvantno otporne ključne sporazume za Zero Trust end-to-end šifrovane sastanke.

Implementacija PKC na MLS sloju pruža kritičnu prednost "odbrane u dubini" - štiti medije i sadržaj sastanaka od napada Harvest Now, Decrypt Later (HNDL). Čak i ako uređaj za povezivanje nema podršku na nivou OS-a za PKC - ostavljajući TLS transportni sloj potencijalno ranjivim - osnovni sadržaj sastanka ostaje siguran i ne može se dešifrovati budućim kvantnim računarskim resursima.

Šifrovani Vebek mediji

Standardi za šifrovanje medija za Vebek

Vebek sastanci i pozivi koriste robusnu enkripciju zasnovanu na AES-u za sve medijske pakete. Specifični paket šifri zavisi od tipa krajnje tačke, a AES-256-GCM služi kao preferirani standard za optimalnu sigurnost.

Tabela 1. Podrška za šifrovanje medija

Vrsta krajnje tačke

Podržane šifre

Vebek App i RoomOS uređaji

AES-256-GCM

SIP / H.323 uređaji treće strane

AES-256-GCM

AES-128-GCM

AS-CM-128-HMAC-SHA1

Ključna bezbednosna razmatranja

  • Preferirani standard - AES-256-GCM je preporučena šifra za sve implementacije kako bi se osigurao najviši nivo integriteta i poverljivosti podataka.
  • Interoperabilnost - Dok Webex održava podršku za nasleđene šifre (kao što je AES-CM-128-HMAC-SHA1) kako bi se osigurala interoperabilnost sa SIP i H.323 sistemima nezavisnih proizvođača, organizacije koje daju prioritet arhitekturi nultog poverenja treba da primenjuju AES-256-GCM tamo gde kompatibilnost uređaja dozvoljava.

Protokoli za prenos medija

Vebek podržava transport medija preko UDP-a, TCP-a ili TLS-a. Za optimalne glasovne i video performanse, Cisco snažno preporučuje UDP.

Razmatranja performansi:

  • Efikasnost u realnom vremenu - UDP je preferirani transport za medije u realnom vremenu jer minimizira kašnjenje i podrhtavanje izbegavajući mehanizme retransmisije i baferovanja koji su svojstveni protokolima orijentisanim na vezu.
  • Uticaj TCP/TLS—Dok TCP i TLS pružaju pouzdanu, naručenu isporuku podataka, ovo ponašanje je kontraproduktivno za medije u realnom vremenu. Dobijeni paketi retransmisije i baferovanje toka uvode kašnjenje i podrhtavanje, što može značajno pogoršati kvalitet iskustva za učesnike

Vebek upotreba SRTP-a i SFrame-a za medije

Da bi se održali visoki bezbednosni standardi potrebni za VebekZero Trust okruženja, važno je razlikovati bezbednost na nivou transporta (SRTP) i end-to-end enkripciju aplikativnog sloja (SFrame).

Tabela 2. Poređenje: SRTP vs. SFrame

Funkcija

SRTP (Secure RTP)

SFrame (Secure Frame)

Primarni cilj

Bezbedan transport medija

End-to-End enkripcija (E2EE)

sadržina

Transportni sloj

Primena / nosivost sloj

Vidljivost

Šifrira RTP korisni teret; zaglavlja često vidljiva

Šifrira medijski okvir pre transporta

Upravljanje ključevima

DTLS-SRTP

Razdvojeno (MLS protokol)

Media Server / Media Gatevai (SFU) interakcija

SFU dešifruje / ponovo šifrira

SFU je "slep" (ne može da dešifruje)

Ključne tehničke razlike—SRTP & SFrame

  1. SRTP (Secure Real-time Transport Protocol)

    SRTP je industrijski standard za obezbeđivanje medijskih tokova u tranzitu.

    • Opseg—Obezbeđuje poverljivost, autentifikaciju poruke i zaštitu od ponovnog igranja za RTP korisni teret.
    • Operativni kontekst—U mnogim arhitekturama, Media Server/Media Gateway (Selective Forwarding Unit (SFU)) prekida SRTP vezu za obavljanje obrade medija (na primer, mešanje, kompozicija rasporeda ili transkodiranje). Pošto SFU dešifruje medije da bi ih obradio, mediji su tehnički ranjivi na SFU tački.
  2. SFrame (Secure Frame)

    SFrame je IETF standard. RFC 9605 je dizajniran posebno da olakša istinsku end-to-end enkripciju u višestranom konferencijskom okruženju.

    • Opseg—Šifrira paketizovane medijske okvire pre nego što su inkapsulirani u RTP pakete. Vebek dodaje dodatni sloj enkripcije koristeći SRTP.
    • Zero Trust Architecture—Pošto su mediji šifrovani na aplikativnom sloju, SFU deluje samo kao "slepi" relej. On usmerava šifrovane pakete drugim učesnicima bez ikakvog pristupa ključevima za dešifrovanje.
    • Nezavisnost—SFrame je transportno-agnostik. Ostaje siguran čak i ako je osnovni transport (UDP / TCP / TLS) ugrožen, jer je sigurnosni kontekst vezan za krajnje tačke učesnika, a ne za transportnu vezu.

SFrame je kritični mehanizam koji omogućava E2EE. Dok SRTP obezbeđuje da su podaci šifrovani tokom prelaska mreže, SFrame osigurava da mediji ostaju šifrovani tokom čitavog životnog ciklusa sastanka, uključujući i dok se nalazi na Cisco infrastrukturi (SFU), efikasno uklanjajući provajdera usluga sa granice poverenja.

Šifrovanje podataka u mirovanju: Webex Meetings

Podaci u mirovanju unutar Vebek sastanaka klasifikovani su u dve različite kategorije, od kojih svaka ima svoj sigurnosni profil:

  1. Sadržaj Vebk sastanaka
  2. Metapodaci Vebek sastanaka

Sadržaj Vebek sastanaka

Sadržaj sastanka sastoji se od podataka koje su kreirali učesnici ili generisali Vebek usluge u ime domaćina sastanka. Ovo uključuje:

  • Sadržaj vezan za medije – snimci, transkripti, rezimei i akcije.
  • Podaci o saradnji – poruke za ćaskanje, deljene / prenesene datoteke, bele table i napomene.

Bezbednost sadržaja Vebek sastanaka - Vebek end-to-end enkripcija

Vebek obezbeđuje sadržaj sastanka koji generišu učesnici koristeći robustan end-to-end enkripcija (EKSNUMKSEE) okvir. Centralna za ovu arhitekturu je Vebek Kei Management Service (KMS), koja je odgovorna za generisanje, distribuciju i upravljanje ključevima za šifrovanje za sve sadržaje koje generišu korisnici.

Sigurnosni slojevi sadržaja sastanka

  • Podaci u tranzitu - Webex App i Cisco video uređaji koriste Webex end-to-end enkripciju (E2EE) sa AES-256-GCM za šifrovanje sadržaja sastanka koji generišu korisnici kao što su datoteke za snimanje, AI rezime datoteka, chat poruke itd. Ovo je dalje inkapsulirano u okviru Transport Laier Securiti (TLS) kako bi se obezbedila dvoslojna zaštita tokom prenosa.
  • Podaci u mirovanju - Jednom kada se čuvaju u Webex oblaku, šifrovani sadržaj je dodatno zaštićen AES-256-GCM enkripcijom diska.
  • Profil zaštite—Ovaj pristup štiti sadržaj od presretanja TLS-a tokom tranzita i osigurava da pohranjeni podaci ostanu nedostupni neovlašćenim akterima u okruženju oblaka.

Vebek end-to-end enkripcija sa pristupom upravljanom sadržaju za osnovne usluge

Za razliku od Zero Trust end-to-end enkripcije, gde Vebek nema pristup medijima ili ključevima za šifrovanje sadržaja, Vebek end-to-end enkripcija omogućava platformi da koristi ključeve generisane Vebek KMS-om za dešifrovanje podataka za osnovne osnovne usluge. Ovaj upravljani pristup omogućava:

  • Pretraga i indeksiranje—Omogućava korisnicima da pretražuju istoriju sadržaja.
  • Usklađenost i upravljanje—Omogućava sprečavanje gubitka podataka (DLP), eDiscovery, i arhiviranje podataka.
  • Optimizacija medija—Podržava transkodiranje datoteka za kompatibilnost sa više uređaja.
  • Bezbednost—Olakšava skeniranje zlonamernog softvera pomoću Proširenog bezbednosnog paketa.

Metapodaci Vebk sastanaka

Metapodaci o sastancima sastoje se od administrativnih i tehničkih informacija koje generiše sistem kako bi olakšao, pratio i upravljao sastankom, a ne stvarni sadržaj (audio, video ili deljene datoteke) samog sastanka. Metapodaci se mogu podeliti u nekoliko kategorija:

  • Informacije o sesiji – Naziv sastanka, ID sastanka, zakazano vreme početka i završetka i stvarno trajanje sastanka.
  • Podaci o učesnicima—Lista pozvanih i stvarnih učesnika, njihove IP adrese, tipovi uređaja (kao što su Windows, iPhone, Cisco Room Kit) i njihove vremenske oznake za pridruživanje/odlazak.
  • Metrika korišćenja i kvaliteta – podaci koji se koriste za rešavanje problema, kao što su gubitak paketa, podrhtavanje, kašnjenje i rezolucija video streama.

Kako se koriste metapodaci

  1. Analitika i izveštavanje—Administratori koriste metapodatke u WebexControl Hub-u da vide koliko sastanaka se dešava, koja odeljenja su najaktivnija i ukupan kvalitet iskustva.
  2. Rešavanje problema—Cisco TAC (Technical Assistance Center) koristi metapodatke za identifikaciju i rešavanje problema sa sastancima.
  3. Usklađenost i eDiscovery—Službenici za usklađenost mogu pretraživati metapodatke kako bi dokazali da je sastanak održan, ko je bio tamo i da li je snimljen, čak i ako ne mogu da vide šifrovani sadržaj sastanka.
  4. Bezbednost—Metapodaci pomažu u identifikaciji pokušaja neovlašćenog pristupa ili neobičnih obrazaca koji mogu ukazivati na bezbednosnu pretnju.

Bezbednost i privatnost metapodataka

  • Enkripcija—Iako metapodaci nisu "end-to-end šifrovani", oni su i dalje šifrovani u tranzitu (koristeći TLS) i u mirovanju u Cisco sigurnim data centrima.
  • Kontrola pristupa – Ciscova pravila o privatnosti strogo ograničavaju ko može da pristupi ovim metapodacima, a koristi se za pružanje i poboljšanje usluge.

Za više informacija o sadržaju i metapodacima Vebek sastanaka, pogledajte Obelodanjivanje ponuda Vebek sastanaka.

Tipovi sesija Vebek sastanaka

Tipovi sesija Vebek sastanaka su konfiguracije ili šabloni koji definišu funkcije i opcije dostupne za sastanke zakazane na Vebek sajtu. Ovi tipovi sesija mogu biti standardni ili prilagođeni od strane administratora sajta kako bi omogućili ili onemogućili određene funkcije za korisnike. Ova fleksibilnost omogućava organizacijama da prilagode iskustva sastanaka u skladu sa svojim bezbednosnim zahtevima i potrebama korisnika. Za više informacija, pogledajte Upravljanje tipovima sesija u Control Hub-u. Tipovi sesija Vebek sastanaka

Dodeljivanje tipova sesija sastanaka korisnicima

Administratori Vebek Control Hub-a mogu dodeliti jedan ili više tipova sastanaka koje njihovi korisnici mogu koristiti za zakazane sastanke. Po defaultu, svim korisnicima su dodeljeni Pro Meeting i Pro-End to End Encryption_VoIPonly tipovi sastanaka.

Dodeljivanje tipova sesija sastanaka korisnicima

Zakažite sastanak – izaberite vrstu sastanka

Korisnici mogu da izaberu tip sastanka koji žele da koriste prilikom zakazivanja sastanka iz Vebek App-a, Vebek User Page i Vebek Email Add-In za Microsoft Outlook.

Zakažite sastanak - Izaberite vrstu sastanka u aplikaciji VebexZakažite sastanak – izaberite vrstu sastanka

Zakažite sastanak - izaberite tip sastanka sa veb korisničke stranice

Zakažite sastanak - izaberite tip sastanka sa veb korisničke stranice

Podesite podrazumevani tip sastanka

Korisnici mogu da podese podrazumevani tip sastanka iz Podešavanja sastanaka > na svojoj korisničkoj stranici Vebek.

Podrazumevani tip sastanka odnosi se i na zakazane sastanke i na lične sobe za sastanke.

Podesite podrazumevani tip sastanka sa stranice Vebek korisnika

Podesite podrazumevani tip sastanka sa stranice Vebek korisnika

Bezbednost za zakazane Vebek sastanke i Vebek lične sobe za sastanke

Zakazani Vebek sastanci i Vebek lične sobe za sastanke značajno se razlikuju po svojim sigurnosnim karakteristikama i predviđenim slučajevima upotrebe.

Zakazani sastanci su dizajnirani za sigurne, planirane sesije i nude sveobuhvatan skup bezbednosnih kontrola, uključujući zaštitu lozinkom, registraciju učesnika, skrining predvorja, onemogućavanje opcija pridruživanja pre domaćina i jedinstvene URL-ove sastanaka za svaku sesiju. Ove funkcije pomažu da se osigura da se samo ovlašćeni učesnici mogu pridružiti i da domaćini zadrže kontrolu nad okruženjem za sastanke.

Nasuprot tome, lične sobe za sastanke pružaju trajni URL za brze, neformalne sastanke sa pouzdanim učesnicima. Oni uključuju osnovne sigurnosne funkcije kao što su kontrole predvorja, ručno ili automatsko zaključavanje i CAPTCHA za sprečavanje automatskih napada. Međutim, pošto je URL lične sobe konstantan, može predstavljati veći bezbednosni rizik ako se široko deli.

Za sastanke koji zahtevaju strogu bezbednost, preporučuju se zakazani sastanci, dok su sobe za lične sastanke pogodnije za pouzdane grupe koje daju prioritet lakoći pristupa u odnosu na stroge bezbednosne kontrole.

Administratori kontrolnog čvorišta mogu konfigurisati sastanke u ličnoj sobi Vebek samo za upotrebu na internim sastancima.

konfigurišite sastanke Vebek lične sobe za upotrebu samo na internim sastancima

Bezbednosna podešavanja sastanka za administratore

Control Hub nudi sveobuhvatan skup bezbednosnih kontrola za zakazane Vebek sastanke, omogućavajući administratorima da prilagode pristup sastancima i upravljanje učesnicima organizacionim politikama. Ove kontrole uključuju:

  • Podešavanja predvorja sastanaka – Konfigurišite ponašanje predvorja za goste i neproverene korisnike, uključujući opcije koje omogućavaju gostima da se direktno pridruže, čekaju u predvorju ili da im se blokira pridruživanje.
  • Grupe kategorija lobija za interne, eksterne i neproverene (gostujuće) korisnike.
  • Oznake učesnika—Imena domena internih učesnika i/ili eksternih učesnika, Nepotvrđena oznaka za neautentifikovane (gostujuće) učesnike.
  • Funkcija automatskog prijema sastanka – Dozvolite autentifikovanim, pozvanim korisnicima i sobama da se pridruže ili započnu sastanke bez intervencije domaćina, dok nepozvani korisnici čekaju u predvorju ili su blokirani.
  • Automatsko zaključavanje sastanka – Automatsko zaključavanje sastanaka nakon određenog broja minuta (0, 5, 10, 15 ili 20) od vremena početka kako bi se sprečilo kašnjenje članova.
  • Ponašanje zaključavanja sastanka—Definišite šta se dešava kada je sastanak zaključan—da li učesnici čekaju u predvorju ili su sprečeni da se pridruže.
  • Sprovođenje lozinki za sastanke – zahtevajte lozinke za učesnike koji se pridružuju sa telefona ili sistema za video konferencije, sa numeričkim lozinkama koje generiše sistem dodanim pozivnicama.
  • Postavite specifične zahteve za dužinu i složenost lozinke za sastanke.
  • Sakrij vezu za sastanak od učesnika – Sprečite učesnike da lako kopiraju i dele veze za sastanke tokom sastanka kako biste smanjili neovlašćeni pristup.
  • Onemogući virtuelne kamere - Za korisnike macOS-a, onemogućite virtuelne kamere nezavisnih proizvođača da biste poboljšali bezbednost ograničavanjem pristupa kamerama samo na Vebex.
  • Vodeni žig sastanka—Omogućite audio i video vodeni žig da biste identifikovali izvor snimaka ili snimaka ekrana, pomažući u identifikaciji curenja podataka.
  • Kontrole pristupa zasnovane na domenu za eksterne i interne sastanke – Kontrolišite da li korisnici mogu da se pridruže spoljnim sastancima i ograničite spoljne korisnike da se pridruže internim sastancima.
  • Šabloni za korisničke grupe – Primenite postavke funkcija sastanka na grupe korisnika ili pojedinačne korisnike putem šablona.

Za više informacija, pogledajte:

Webex najbolji postupci za bezbedne sastanke: Control Hub

Vebek App | - O predvorju na Vebek sastancima

Prilagodite oznake učesnika koje se prikazuju na Vebek sastancima

Kontrole deljenja sadržaja sastanka za administratore

Control Hub omogućava administratorima da kontrolišu kako se sadržaj kao što su snimci, rezimei, akcione stavke itd. Može deliti tokom i nakon sastanka i da kontroliše koliko dugo se sadržaj sastanka čuva u Vebek oblaku, pre nego što se automatski izbriše.

Kontrole sadržaja

Kontrole sadržaja sastanka

Politika zadržavanja sadržaja sastanka Politika zadržavanja sadržaja sastanka

Domaćin sastanka ima potpunu kontrolu nad načinom na koji je sastanak postavljen i treba da obezbedi da se samo pozvani mogu pridružiti. Takođe, domaćin treba da prati bezbednosne politike organizacije za zakazivanje sastanaka. Da biste saznali kako da Vebek sastanci budu sigurni kao domaćin, pogledajte Vebek Najbolje prakse za sigurne sastanke: Domaćini.

U zavisnosti od bezbednosnih politika, neke organizacije mogu u potpunosti blokirati svoje korisnike da se pridruže bilo kakvim spoljnim sastancima ili dozvoliti svojim korisnicima da se pridruže sastancima sa liste odobrenih spoljnih sajtova. Pored toga, organizacije mogu ograničiti svoje korisnike u korišćenju određenih funkcija na sastanku kao što su ćaskanje, prenos datoteka, napomene, pitanja i odgovori i anketiranje prilikom pridruživanja spoljnom sastanku. Ograničenja saradnje iz Vebek-a mogu pružiti ove funkcije. Za više detalja pogledajte Ograničenja saradnje za Vebek sastanke u Control Hub-u.

Bezbednosne kontrole za domaćine Vebek sastanaka

Domaćini sastanaka Vebek igraju ključnu ulogu u održavanju sigurnosti i integriteta virtuelnih sastanaka. Oni su osnaženi sveobuhvatnim skupom kontrola dizajniranih za upravljanje pristupom učesnika, verifikaciju identiteta i zaštitu sadržaja sastanka:

  • Kontrole predvorja sastanaka - Domaćini mogu da prime ili uklone učesnike koji čekaju u predvorju, što grupiše korisnike kao interne, eksterne ili neproverene goste. Ovo omogućava proveru učesnika pre ulaska.
  • Zaključavanje sastanka – Domaćini mogu ručno zaključati ili otključati sastanak kako bi sprečili nove učesnike da se pridruže nakon što sastanak počne. Sastanci se takođe mogu podesiti na automatsko zaključavanje nakon određenog vremena (0, 5, 10, 15 ili 20 minuta).
  • Zaštita lozinkom – zakazani sastanci su podrazumevano zaštićeni lozinkom. Domaćini mogu da primene lozinke za sastanke za učesnike koji se pridružuju putem telefona ili sistema za video konferencije.
  • Funkcija automatskog prijema - Domaćini mogu dozvoliti autentifikovanim, pozvanim korisnicima i sobama da se pridruže ili započnu sastanke bez intervencije domaćina, dok nepozvani korisnici čekaju u predvorju ili su blokirani.
  • Upravljanje učesnicima—Domaćini mogu izbaciti učesnike u bilo kom trenutku tokom sastanka kako bi uklonili neželjene učesnike.
  • Pridružite se pre kontrole domaćina - Domaćini mogu da omoguće ili onemogućite opciju za učesnike da se pridruže sastanku pre nego što domaćin stigne, što se preporučuje da bude onemogućeno radi bezbednosti.
  • Kontrole isključivanja zvuka – Domaćini mogu isključiti ili uključiti učesnike i kontrolisati da li učesnici mogu da se uključe kako bi smanjili smetnje.
  • Ulazni i izlazni tonovi – Domaćini mogu da omoguće zvučna obaveštenja kada se učesnici pridruže ili napuste sastanak kako bi pratili prisustvo.
  • Vodeni žig - Domaćini mogu omogućiti audio i video vodeni žig kako bi identifikovali izvor snimaka ili snimaka ekrana, pomažući u sprečavanju curenja podataka.
  • Verifikacija identiteta - Domaćini mogu zatražiti od učesnika da uključe video ili navedu svoje ime kako bi potvrdili identitet i potvrdili učesnike.
  • Kontrola završetka sastanka - Domaćini mogu da prekinu sastanak za sve učesnike kako bi osigurali da je sesija potpuno zatvorena.

Za više informacija, pogledajte Najbolje prakse za sigurne sastanke: domaćini.

Bezbednosne opcije za domaćine prilikom zakazivanja sastanka

Bezbednosne opcije za domaćine prilikom zakazivanja sastanka

Bezbednosne opcije za domaćine prilikom zakazivanja sastanka

Borba protiv novih bezbednosnih pretnji – Deepfake lažno predstavljanje korisnika

Deepfake pretnje na Vebek sastancima predstavljaju značajan novi sigurnosni izazov. Deepfakes koriste veštačku inteligenciju za stvaranje veoma realističnog, ali lažnog audio i video sadržaja, koji mogu da se lažno predstavljaju kao legitimni učesnici sastanka. U kontekstu Vebek sastanaka, ovo bi moglo omogućiti zlonamernim akterima da se lažno predstavljaju kao pouzdani pojedinci, manipulišu sadržajem sastanka ili sprovode napade socijalnog inženjeringa, što potencijalno dovodi do neovlašćenog pristupa, kršenja podataka ili prevare.

Vebek uključuje više bezbednosnih kontrola koje pomažu u ublažavanju rizika povezanih sa neovlašćenim pristupom i lažnim predstavljanjem. To uključuje kontrole predvorja sastanaka za provjeru učesnika prije ulaska, funkcije zaključavanja sastanaka kako bi se spriječili kasni članovi, prisilna zaštita lozinkom, upute za verifikaciju identiteta učesnika i vodeni žig audio i video zapisa za praćenje izvora snimaka ili snimaka ekrana. Zajedno sa Deepfake Detection i Deepfake Prevention, ove mere stvaraju slojevitu odbranu koja poboljšava sigurnost sastanaka protiv deepfake-a i drugih sofisticiranih pretnji, pomažući organizacijama da zaštite osetljive informacije i održe poverenje u svoje virtuelno okruženje za saradnju.

Deepfake detekcija

Cisco se udružio sa GetReel-om i Pindrop-om kako bi integrisao napredne tehnologije detekcije deepfake-a i glasovne autentifikacije u Vebek Suite. Ova integracija omogućava detekciju u realnom vremenu i blokiranje sintetičkih audio i video zapisa tokom sastanaka bez potrebe za dodatnim hardverom. Rešenje koristi višefaktorsku analizu rizika, uključujući glasovnu biometriju, analitiku uređaja i ponašanja i globalnu inteligenciju prevare, kako bi pasivno autentifikovao učesnike i identifikovao pokušaje deepfake-a sa visokom preciznošću. Ova kontinuirana, pozadinska analiza pomaže u zaštiti sastanaka od prevare sa AI-om uz održavanje besprekornog korisničkog iskustva.

Deepfake prevencija: Korisnički sertifikati o identitetu

Zero Trust - End-to-End Identiti i Deepfake prevencija

Sertifikati o identitetu krajnjeg korisnika koje pružaju kupci su kamen temeljac sprečavanja lažnog predstavljanja na Vebek end-to-end šifrovanim (EKSNUMKSEE) sastancima. Za razliku od tradicionalnih mehanizama za blokiranje deepfake-a koji se oslanjaju na analizu audio i video tokova, ovaj pristup obezbeđuje kriptografsku validaciju identiteta na mestu prijema. Ovaj verifikovani status se prikazuje direktno u spisku sastanaka, pružajući transparentnost svim učesnicima.

Vebeks je proširio svoju podršku za sertifikate kojima upravljaju kupci - ranije dostupne na RoomOS uređajima - na Vebek aplikaciju kao deo naše funkcije "Deepfake prevencija". Organizacije mogu da obezbede i upravljaju sopstvenim digitalnim sertifikatima, koje izdaju pouzdani spoljni sertifikati (CA) koristeći standardne protokole kao što je ACME. Ovi sertifikati, zasnovani na Ks.509 standardima i ECDSA P-256 parovima ključeva, pružaju kriptografski dokaz identiteta učesnika tokom sastanaka E2EE.

End-to-End verifikovani identitet i MLS protokol

Protokol Messaging Laier Securiti (MLS) koristi standardne Ks.KSNUMKS sertifikate za autentifikaciju učesnika sastanka. Sertifikat je digitalno potpisana izjava od pouzdanog CA koja potvrđuje identitet vlasnika ključa za potpisivanje. Učesnici dobijaju ove sertifikate kroz dva osnovna metoda:

  • Upravljani uređaji (sertifikati koje pruža korisnik) – Za desktop i mobilne klijente kojima upravlja organizacija, na uređaj se može instalirati sertifikat identiteta od pouzdanog CA Kada se korisnik prijavi pomoću Single Sign-On (SSO), Vebek App preuzima ovaj sertifikat iz prodavnice poverenja OS-a kako bi predstavio verifikovani identitet korisnika. Ovaj proces je takođe podržan za Cisco video uređaje registrovane u Vebek oblaku.
  • Podrazumevano (sertifikati obezbeđeni od strane Vebeksa) - Ako nije dostupan sertifikat koji je obezbedio korisnik, Vebeks klijent ili uređaj automatski koristi sertifikat koji je izdao Vebek autoritet za sertifikate, koji odražava identitet verifikovan od strane Cisco-a.

Deljenje identiteta i rezervni mehanizam

Tokom sastanka, svaki učesnik deli svoj sertifikat o identitetu Vebeksa i, ako je dostupan, sertifikat o identitetu koji je obezbedio klijent sa svim ostalim učesnicima. Da bi se osigurala besprekorna povezanost, Vebek krajnja tačka prati strogu hijerarhiju: daje prioritet sertifikatu kupca za verifikaciju; ako taj sertifikat nedostaje ili ne prođe validaciju, sistem se automatski vraća na sertifikat identiteta koji pruža Vebek.

Prikazivanje statusa verifikacije identiteta korisnika

Kada se učesnici pridruže sastanku koristeći Vebek App ili RoomOS uređaje sa sertifikatima koje pružaju kupci, njihov identitet verifikuju drugi članovi sastanka u odnosu na izdavanje CA. Ovo osigurava da se prepoznaju samo ovlašćeni korisnici, sprečavajući napadače da se lažno predstavljaju kao legitimni učesnici, jer su ovi sertifikati jedinstveno vezani za verifikovane identitete i ne mogu biti falsifikovani od strane Cisco ili posrednika.

Lista učesnika na sastanku E2E-šifrovanom prikazuje status verifikacije identiteta svakog korisnika:

  • Zero-Trust E2E Verified (Ikona koja označava učesnika sastanka verifikovana je end-to-end enkripcijom nultog poverenja. domain.com )—Kada se koristi sertifikat identiteta koji je obezbedio kupac, domen učesnika se prikazuje plavim tekstom. Ovo ukazuje na pravi E2E- verifikovani identitet sa kojim Cisco ne može da se meša. Na primer, u spisku sastanaka, možda ćete videti da "Kevin" ima verifikovanu adresu e-pošte od example.com u plavo.
  • Webex-Verified (Identitet verifikovan od strane spoljnog javnog autoriteta za sertifikate (CA) ili ikone provajdera identiteta (IdP) domain.com) - Sertifikati koje izdaje Webex CA pružaju ograničeniji nivo zaštite. Iako su superiorniji od toga da nemaju zaštitu identiteta, ovi učesnici nisu označeni kao "Zero Trust E2E verifikovan". Umesto toga, njihov status identiteta je prikazan u sivom tekstu, što ukazuje na to da je identitet verifikovan od strane Vebek CA.
  • Nepotvrđeni gost korisnik (ikona koja označava da je učesnik sastanka nepotvrđeni gostujući korisnik. Nepotvrđeno) – Iako identitet gostujućih učesnika nije autentifikovan (jer ne postoji proces prijavljivanja), i dalje im je potreban sertifikat da bi se pridružili MLS grupi za poziv ili sastanak. Ovaj sertifikat izdaje Vebek CA i koristi "anonimno" kao korisničko ime.
Sastanak koji ukazuje na različite vrste verifikacije korisnika.

Pored toga, sigurnosni kod sastanka izveden iz kriptografskog stanja svih učesnika pomaže u otkrivanju napada osoba u sredini omogućavajući učesnicima da potvrde da svi dele isti siguran kontekst sastanka. Kombinovanjem kriptografske verifikacije identiteta sa end-to-end enkripcijom, ova funkcija "Deepfake prevencija" nudi robusnu odbranu od lažnog predstavljanja i sintetičkih medijskih pretnji, štiteći integritet i poverljivost sastanka na Vebek App i RoomOS uređajima.

Upravljanje uvođenjem sertifikata

Organizacije mogu pojednostaviti uvođenje i upravljanje ovim sertifikatima identiteta krajnjih korisnika koje pružaju kupci tako što će ih instalirati u korporativno upravljane uređaje koristeći Mobile Device Management (MDM), Mobile Application Management (MAM) ili Enterprise Mobiliti Management (EMM) aplikacije. Ove platforme za upravljanje omogućavaju IT administratorima da centralno obezbeđuju, konfigurišu i kontrolišu sertifikate i srodne bezbednosne politike u širokom spektru uređaja, bilo da su u vlasništvu korporacije ili u ličnom vlasništvu. Na primer, Microsoft Intune podržava i MDM i MAM mogućnosti koje omogućavaju organizacijama da primenjuju i upravljaju Vebek aplikacijom i njenim bezbednosnim konfiguracijama, uključujući sertifikate identiteta, na upravljanim uređajima. Slično tome, Cisco Meraki Sistems Manager pruža MDM mogućnosti za upis uređaja, push konfiguracione profile i postavljanje sertifikata kako bi se osigurao status pouzdanog uređaja. Korišćenje ovih rešenja za upravljanje smanjuje administrativne troškove, pojednostavljuje upravljanje životnim ciklusom sertifikata i poboljšava bezbednosni položaj za Vebek EKSNUMKSEE sastanke sa funkcijama "Deepfake prevencije".

Vebek upravljanje identitetom

Webex koristi Zero Trust arhitekturu - "nikad ne verujte, uvek verirate" - za upravljanje korisničkim identitetima. Koristeći standardne protokole (SAML 2.0, OIDC, OAuth 2.0 i SCIM 2.0), Vebek obezbeđuje sigurnu, skalabilnu i automatizovanu kontrolu pristupa. Ovaj odeljak opisuje tehnički okvir za integraciju provajdera identiteta (IdP) i održavanje sigurnog okruženja za saradnju.

Tri stuba identiteta

Efektivno upravljanje identitetom i pristupom (IAM) za Vebek se oslanja na:

  • Provisioning (CRUD)—Upravljanje životnim ciklusima korisnika (kreiranje, čitanje, ažuriranje, brisanje) kako bi se osiguralo da "izvor istine" odgovara platformi za saradnju.
  • Autentikacija (AuthN)—Provera identiteta korisnika putem sigurnih akreditiva ili tokena.
  • Autorizacija (AuthZ)—Definisanje granularnih dozvola i nivoa pristupa API-ju nakon autentifikacije.

Obezbeđivanje i upravljanje životnim ciklusom

Vebek podržava nekoliko metoda za sinhronizaciju korisnika i grupa:

  • SCIM 2.0—Preferirani standard oblaka. Automatizuje životni ciklus korisnika, obezbeđujući isključivanje u IdP-u automatski opoziva pristup Vebek-u.
  • Konektor direktorijuma - Cisco alat za hibridna okruženja, koji premošćuje lokalni Active Directory (AD) na Webex Cloud.
  • Obezbeđivanje zasnovano na API-ju - Koristi Webex "People API" za programsko kreiranje korisnika i dodeljivanje licenci u složenim okruženjima.
  • Nasleđeni LDAP—Podržan za lokalne direktorijume (npr. CUCM), iako manje optimizovan za savremeni saobraćaj u oblaku.

Okviri za autentifikaciju i autorizaciju

  • Autentikacija (AuthN):
  • SAML 2.0—Poslovni standard za Single Sign-On (SSO). Vebek deluje kao provajder usluga (SP), potvrđujući KSML tvrdnje iz korporativnog IdP-a.
  • OIDC (OpenID Connect)—Moderan, lagan sloj identiteta izgrađen na OAuth 2.0 koristeći JSON Veb Tokens (JWTs). Podržava "Discoveri URL-ove" za automatsku konfiguraciju.
  • Ovlašćenje (AuthZ):
  • OAuth 2.0—Upravlja pristupom API-ju preko kratkotrajnih pristupnih tokena (definisanje opsega) i dugotrajnih Refresh Tokena. On sprovodi sigurnost preko PKCE (Proof Kei for Code Exchange) za javne klijente.

Integracija i Multi-IDP strategije

Vebek obezbeđuje specijalizovane puteve za besprekornu integraciju:

  • Čarobnjak za Entra ID—Preporučena putanja za Microsoft okruženja. Koristi Microsoft Graph API za naprednu sinhronizaciju atributa (avatari, hijerarhije) i automatizuje OIDC / SAML konfiguraciju.
  • Duo Security—Dodaje "Continuous Identity Security" verifikacijom položaja uređaja i omogućavanjem MFA otpornog na phishing.

Višestruki IDP podrška:Vebek omogućava organizacijama da udruže više nezavisnih IDP-ova unutar jednog kontrolnog čvorišta.

  • Slučajevi upotrebe—Spajanja, akvizicije ili decentralizovana IT odeljenja.
  • Routing – zahtevi za autentifikaciju se usmeravaju na osnovu domena ili korisničkih grupa.
  • Razmatranje—Zahteva strogu koordinaciju kako bi se održala konzistentna bezbednosna politika u svim federalnim izvorima.

Primer najčešćih integracija identiteta IDP-a sa Vebeksom:

IdP platforma

DZS protokol

SCIM podrška

Microsoft Entra ID

SAML 2.0, OIDC

Da

Okta

SAML 2.0, OIDC

Da

fejssiting

SAML 2.0, OIDC

Da

Gugl aplikacije

SAML 2.0

Ne (JIT podržan)

ADFS

SAML 2.0

Ne

Najbolje prakse i otpornost

  • DZS oporavak—Uvek koristite ugrađeni "DZS oporavak" link u kontrolnom čvorištu da zaobiđe DZS preko jednokratne lozinke (OTP) ako IdP konfiguracija ne uspe.
  • Upravljanje sertifikatima—Pratite istek SAML sertifikata. DZS čarobnjak automatizuje razmenu metapodataka, smanjujući ručne greške.
  • Rešavanje problema—Koristite alat SAML Tracer da pregledate XML tvrdnje i potvrdite NameID formate ako se pojave problemi sa autentifikacijom.
  • Bezbednosni položaj – redovno zastarevaju nasleđene tipove grantova i osigurajte da se PKCE implementira za sve integracije javnih klijenata.

Zaključak - Identitet za Webex sastanke

Robusna strategija identiteta je kontinuirani proces životnog ciklusa. Kombinovanjem SCIM-a za obezbeđivanje, OIDC / SAML za autentifikaciju i OAuth za autorizaciju, organizacije mogu osigurati sigurno iskustvo bez trenja za korisnike uz održavanje stroge administrativne kontrole.

Vebek sigurnosni model

Cisco ostaje čvrsto posvećen održavanju liderstva u bezbednosti oblaka. Cisco-ova organizacija za bezbednost i poverenje radi sa timovima širom naše kompanije kako bi izgradila sigurnost, poverenje i transparentnost u okvir koji podržava dizajn, razvoj i rad osnovnih infrastruktura kako bi se zadovoljili najviši nivoi sigurnosti u svemu što radimo.

Ova organizacija je takođe posvećena pružanju našim klijentima informacija koje su im potrebne za ublažavanje i upravljanje rizicima kibernetičke sigurnosti.

Vebeks bezbednosni model (slika 8) je izgrađen na istoj bezbednosnoj osnovi duboko urezan u Cisco procesima.

Vebek organizacija dosledno prati temeljne elemente za siguran razvoj, rad i praćenje Vebek usluga. O nekim od ovih elemenata ćemo razgovarati u ovom dokumentu.

Vebek sigurnosni model
Slika 8: Vebek sigurnosni model

Cisco bezbednost i poverenje

Životni ciklus Cisco sigurnog razvoja

U Ciscu, sigurnost nije naknadna misao. To je disciplinovan pristup izgradnji i isporuci proizvoda i usluga svetske klase iz temelja. Svi® timovi za razvoj Cisco proizvoda su obavezni da prate Cisco Secure Development Lifecicle. To je ponovljiv i merljiv proces dizajniran da poveća otpornost i pouzdanost Cisco proizvoda. Kombinacija alata, procesa i obuke za podizanje svijesti uvedena u svim fazama životnog ciklusa razvoja pomaže u osiguravanju dubinske odbrane. Takođe pruža holistički pristup otpornosti proizvoda. Tim za razvoj proizvoda Vebek strastveno prati ovaj životni ciklus u svakom aspektu razvoja proizvoda.

Pročitajte više o životnom ciklusu sigurnog razvoja.

Cisco osnovni bezbednosni alati

Cisco organizacija za bezbednost i poverenje obezbeđuje proces i neophodne alate koji svakom programeru daju mogućnost da zauzme dosledan stav kada se suočava sa bezbednosnom odlukom.

Imati posvećene timove za izgradnju i pružanje takvih alata uklanja neizvesnost iz procesa razvoja proizvoda.

Neki primeri alata uključuju:

  • Osnovni zahtevi za bezbednost proizvoda (PSB) sa kojima proizvodi moraju biti u skladu
  • Alati za graditelje pretnji koji se koriste tokom modeliranja pretnji
  • Smernice za kodiranje
  • Potvrđene ili sertifikovane biblioteke koje programeri mogu koristiti umesto pisanja sopstvenog sigurnosnog koda
  • Alati za testiranje bezbednosnih ranjivosti (za statičku i dinamičku analizu) koji se koriste nakon razvoja za testiranje bezbednosnih nedostataka
  • Praćenje softvera koji prati Cisco i biblioteke nezavisnih proizvođača i obaveštava timove proizvoda kada se identifikuje ranjivost

Organizaciona struktura koja uvodi sigurnost u Cisco procese

Cisco ima namenska odeljenja koja usvajaju i upravljaju bezbednosnim procesima u celoj kompaniji. Da bi stalno bio u toku sa bezbednosnim pretnjama i izazovima, Cisco se oslanja na:

  • Cisco Information Securiti (InfoSec) Cloud tim
  • Cisco tim za odgovor na bezbednosne incidente proizvoda (PSIRT)
  • Zajednička odgovornost za bezbednost

Cisco InfoSec Oblak

Predvođen glavnim službenikom za bezbednost za Cloud, ovaj tim je odgovoran za pružanje sigurnog Vebek okruženja našim klijentima. InfoSec to postiže definisanjem i sprovođenjem bezbednosnih procesa i alata za sve funkcije koje su uključene u isporuku Vebek-a u ruke naših kupaca.

Pored toga, Cisco InfoSec Cloud radi sa drugim timovima širom Cisco-a kako bi odgovorio na bilo kakve bezbednosne pretnje Vebek servisu.

Cisco InfoSec je takođe odgovoran za kontinuirano poboljšanje bezbednosnog položaja Vebek-a.

Cisco tim za odgovor na bezbednosne incidente proizvoda (PSIRT)

Cisco PSIRT je posvećeni globalni tim koji upravlja prilivom, istragom i izveštavanjem o bezbednosnim pitanjima vezanim za Cisco proizvode i usluge. PSIRT koristi različite medije za objavljivanje informacija, u zavisnosti od težine bezbednosnog problema. Vrsta izveštavanja varira u zavisnosti od sledećih uslova:

  • Softverske zakrpe ili zaobilaznice postoje za rešavanje ranjivosti, ili se planira naknadno javno objavljivanje ispravki koda za rešavanje ranjivosti visoke ozbiljnosti
  • PSIRT je primetio aktivnu eksploataciju ranjivosti koja bi mogla dovesti do većeg rizika za Cisco korisnike. PSIRT može ubrzati objavljivanje sigurnosnog saopštenja koje opisuje ranjivost u ovom slučaju bez potpune dostupnosti zakrpa.
  • Javna svest o ranjivosti koja utiče na Cisco proizvode može dovesti do većeg rizika za Cisco korisnike. Opet, PSIRT može upozoriti kupce, čak i bez potpune dostupnosti zakrpa.

U svim slučajevima, PSIRT otkriva minimalnu količinu informacija koje će krajnjim korisnicima trebati da procene uticaj ranjivosti i da preduzmu korake potrebne za zaštitu svoje životne sredine. PSIRT koristi Common Vulnerability Scoring Sistem (CVSS) skalu za rangiranje ozbiljnosti otkrivenog problema. PSIRT ne pruža detalje o ranjivosti koji bi mogli omogućiti nekome da napravi eksploataciju.

Za više informacija o PSIRT-u, pogledajte Cisco Product Security Incident Response Team.

Bezbednosna odgovornost

Iako je svaka osoba u Vebek grupi odgovorna za bezbednost, glavna pravila su sledeća:

  • Glavni službenik za bezbednost, Cloud
  • Potpredsednik i generalni direktor, Cisco Cloud Collaboration Applications
  • Potpredsednik, inženjering, Cisco Cloud Collaboration Applications
  • Potpredsednik, upravljanje proizvodima, Cisco Cloud Collaboration Applications

Interni i eksterni testovi penetracije

Vebek grupa redovno sprovodi rigorozno testiranje penetracije, koristeći interne procenjivače. Pored sopstvenih strogih internih procedura, Cisco InfoSec takođe angažuje više nezavisnih trećih strana da sprovedu rigorozne revizije protiv Cisco internih politika, procedura i aplikacija. Ove revizije su dizajnirane da potvrde kritične bezbednosne zahteve za komercijalne i vladine aplikacije. Cisco takođe koristi nezavisne prodavce za obavljanje tekućih, dubinskih, kodom potpomognutih testova penetracije i procena usluga. Kao deo angažmana, treća strana vrši sledeće bezbednosne procene:

  • Identifikovanje kritičnih ranjivosti aplikacija i usluga i predlaganje rešenja
  • Preporučivanje opštih oblasti za arhitektonsko poboljšanje
  • Identifikovanje grešaka u kodiranju i pružanje uputstava za poboljšanje prakse kodiranja

Nezavisni procenjivači rade direktno sa Vebek inženjerskim osobljem kako bi objasnili nalaze i potvrdili sanaciju. Pogledajte Vebek sastanke Letters of Attestation Trust Package za informacije o potvrđivanju testa penetracije.

Bezbednost Vebek data centra

Vebek je softver-as-a-service (SaaS) rešenje koje se isporučuje preko Vebek Cloud-a, visoko sigurne platforme za pružanje usluga sa vodećim performansama, integracijom, fleksibilnošću, skalabilnošću i dostupnošću. Vebek Cloud je komunikaciona infrastruktura namenski izgrađena za veb komunikacije u realnom vremenu.

Sesije sastanaka Vebeksa koriste opremu za prebacivanje koja se nalazi u više centara za podatke širom sveta. Cisco data centri se koriste za većinu Vebek Cloud usluga. SOCKSNUMKS i ISO-kompatibilni Amazon Veb Services (AVS) i Microsoft Azure data centri se takođe koriste za pružanje dodatnih usluga u privatnim cloud instancama. Ovi data centri su strateški postavljeni u blizini glavnih internet pristupnih tačaka i koriste namenska vlakna visoke propusnosti za usmeravanje saobraćaja širom sveta.

Pored toga, Cisco upravlja mrežnim lokacijama Point-of-Presence (PoP) koje olakšavaju okosnicu veza, internet peering, globalnu rezervnu kopiju sajta i tehnologije keširanja kako bi poboljšale performanse i dostupnost za krajnje korisnike.

Fizička bezbednost

Fizička bezbednost u data centru uključuje video nadzor za objekte i zgrade i sprovođenu dvofaktorsku identifikaciju za ulazak. Unutar Cisco data centara, pristup se kontroliše kroz kombinaciju čitača znački i biometrijskih kontrola. Pored toga, kontrole životne sredine (na primer, temperaturni senzori i sistemi za suzbijanje požara) i infrastruktura kontinuiteta usluga (kao što je rezervna kopija napajanja) pomažu da se osigura da sistemi rade bez prekida.

Serveri data centra su podeljeni u "zone poverenja", na osnovu osetljivosti infrastrukture. Na primer, baze podataka su "u kavezu", mrežna infrastruktura ima namenske prostorije, a svi stalci za opremu su zaključani. Samo Cisco bezbednosno osoblje i ovlašćeni posetioci u pratnji Cisco osoblja mogu ući u data centre.

Cisco-ova proizvodna mreža je visoko pouzdana mreža: samo vrlo mali broj ljudi sa visokim nivoom poverenja ima pristup mreži.

Bezbednost infrastrukture i platforme

Sigurnost platforme obuhvata sigurnost mreže, sistema i ukupnog Vebek data centra. Svi sistemi prolaze kroz detaljan bezbednosni pregled i validaciju prihvatanja pre primene proizvodnje, kao i redovno tekuće učvršćivanje, bezbednosno krpanje i skeniranje i procenu ranjivosti.

Serveri su ojačani korišćenjem Smernica za bezbednosnu tehničku implementaciju (STIG) koje je objavio Nacionalni institut za standarde i tehnologiju (NIST). Zaštitni zidovi štite mrežni perimetar. Liste kontrole pristupa (ACL) razdvajaju različite sigurnosne zone. Sistemi za detekciju upada (IDS) su na snazi, a aktivnosti se potpisuju i prate na kontinuiranoj osnovi. Svakodnevno interno i eksterno bezbednosno skeniranje vrši se preko Vebek-a. Svi sistemi su ojačani i zakrpljeni kao deo redovnog održavanja. Pored toga, skeniranje i procene ranjivosti se vrše kontinuirano.

Kontinuitet usluga i oporavak od katastrofe su kritične komponente sigurnosnog planiranja. Dizajn Cisco data centara sa globalnim rezervnim kopijama sajta i visokom dostupnošću pomaže u omogućavanju geografskog preklapanja Vebek usluga. Ne postoji jedna tačka neuspeha.

Vebek privatnost

Vebek ozbiljno shvata zaštitu podataka o klijentima. Prikupljamo, koristimo i obrađujemo informacije o klijentima samo u skladu sa Cisco izjavom o privatnosti i obelodanjivanjem ponuda za vebek sastanke.

Usluga je izgrađena imajući u vidu privatnost i dizajnirana je tako da se može koristiti na način koji je u skladu sa globalnim zahtevima privatnosti, uključujući Opštu uredbu EU o zaštiti podataka (GDPR), Kalifornijski zakon o privatnosti potrošača (CCPA), Kanadski zakon o zaštiti ličnih podataka i elektronskim dokumentima (PIPEDA), Zakon o zaštiti ličnih zdravstvenih informacija (PHIPA), Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA), i Zakon o porodičnim obrazovnim pravima i privatnosti (FERPA).

Administrativni podaci

Informacije o zaposlenima ili predstavnicima kupca ili druge treće strane koje Cisco prikuplja i koristi u cilju administriranja ili upravljanja isporukom proizvoda ili usluga kompanije Cisco, ili za administraciju ili upravljanje nalogom kupca ili treće strane u sopstvene poslovne svrhe kompanije Cisco.

Administrativni podaci mogu uključivati ime, adresu, telefonski broj, adresu e-pošte i informacije o ugovornim obavezama između kompanije Cisco i treće strane, bez obzira da li su prikupljene u trenutku početne registracije ili kasnije u vezi sa upravljanjem ili administracijom Cisco proizvoda ili usluga.

Administrativni podaci mogu uključivati i naslov sastanka, vreme i druge atribute sastanaka koje su na Vebeksu vodili zaposleni ili predstavnici kupca. Drugi primeri administrativnih podataka mogu uključivati naziv sastanka, vreme sastanka i druge atribute sastanaka koji se nalaze na Vebek-u.

Podaci o klijentima

Ovo uključuje sve podatke (uključujući tekst, audio, video, slikovne datoteke i snimke) koje je klijent pružio Ciscu u vezi sa korisničkim korišćenjem Cisco proizvoda ili usluga, ili ih je razvio Cisco na poseban zahtev kupca u skladu sa izjavom o radu ili ugovorom.

Podaci o klijentima takođe uključuju dnevnik, konfiguraciju ili datoteke firmvera i osnovne deponije.

To su podaci uzeti iz proizvoda ili usluge i dostavljeni Ciscu kako bi nam pomogli u rešavanju problema u vezi sa zahtevom za podršku. Podaci o klijentima ne uključuju administrativne podatke, podatke o podršci ili telemetrijske podatke.

Podaci za podršku

Informacije koje Cisco prikuplja kada korisnik podnese zahtev za usluge podrške ili drugo rešavanje problema, uključujući informacije o hardveru ili softveru. Uključuje detalje vezane za incident podrške, kao što su informacije o autentifikaciji, informacije o stanju proizvoda, sistema i podataka registra o softverskim instalacijama i hardverskim konfiguracijama, kao i datoteke za praćenje grešaka. Podaci o podršci ne uključuju dnevnik, konfiguraciju ili datoteke firmvera, ili osnovne deponije preuzete iz proizvoda i dostavljene nam da nam pomognu da rešimo problem u vezi sa zahtevom za podršku, a sve su to primeri podataka o klijentima.

Telemetrijski podaci

Informacije generisane instrumentima i sistemima za evidentiranje stvorenih korišćenjem i radom proizvoda ili usluge.

Svi podaci prikupljeni u Vebek oblaku zaštićeni su nekoliko slojeva robusnih sigurnosnih tehnologija i procesa. Ispod su primeri kontrola postavljenih u različitim slojevima Vebek operacija radi zaštite podataka o klijentima:

  • Kontrola fizičkog pristupa - Fizički pristup se kontroliše putem biometrije, znački i video nadzora. Pristup data centru zahteva odobrenja i upravlja se putem elektronskog sistema za izdavanje karata.
  • Kontrola pristupa mreži - Perimetar mreže Webex je zaštićen zaštitnim zidovima. Svaki mrežni saobraćaj koji ulazi ili izlazi iz Vebek data centra kontinuirano se prati pomoću sistema za detekciju upada (IDS). Vebek mreža je takođe podeljena u odvojene bezbednosne zone. Saobraćaj između zona kontroliše zaštitni zid i liste kontrole pristupa (ACL).
  • Kontrola nadgledanja i upravljanja infrastrukturom – Svaka komponenta infrastrukture, uključujući mrežne uređaje, aplikativne servere i baze podataka, ojačana je strogim smernicama. Oni su takođe predmet redovnog skeniranja kako bi se identifikovali i rešili bilo kakvi bezbednosni problemi.
  • Kriptografske kontrole - Kao što je ranije pomenuto, svi podaci do i iz Vebeks data centra u oblak registrovanih Vebek aplikacija i Vebek uređaja su šifrovani, osim PSTN saobraćaja i nešifrovanih SIP / HKSNUMKS video uređaja na sastanku sa omogućenim oblakom. Pored toga, kritični podaci koji se čuvaju u Vebek-u, kao što su lozinke, su šifrovani.

Zaposleni u Cisco-u ne pristupaju podacima o klijentima, osim ako korisnik ne zatraži pristup iz razloga podrške. Pristup sistemima u ovom slučaju je dozvoljen od strane menadžera samo u skladu sa principom "segregacije dužnosti". Odobrava se samo na osnovu potrebe da se zna i samo sa nivoom pristupa koji je potreban za obavljanje posla. Pristup zaposlenih ovim sistemima se takođe redovno pregledava za usklađenost. Zaposleni sa takvim pristupom su obavezni da pohađaju godišnju obuku Međunarodne organizacije za standardizaciju (ISO) 27001 Information Security Awareness.

Pored ovih specijalizovanih kontrola, svaki zaposleni u Ciscu prolazi kroz provjeru pozadine, potpisuje Ugovor o neotkrivanju podataka (NDA) i završava obuku o Kodeksu poslovnog ponašanja (COBC).

Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA)

Cisco može pružiti informacije o funkcionalnosti, tehnologiji i sigurnosti Vebeksa. Entitet pokriven HIPAA bi morao da se konsultuje sa svojim pravnim savetnikom kako bi utvrdio da li je funkcionalnost Vebek-a usklađena sa svojim poslovnim procesima i spremna za GDPR.

Industrijski standardi i sertifikati

Pored poštovanja naših strogih internih standarda, Vebek takođe kontinuirano održava validacije trećih strana kako bi pokazao našu posvećenost bezbednosti informacija. Vebek je:

  • ISO 27001, 27017, 27018 i 27701 sertifikovani
  • Kontrola servisne organizacije (SOC) 2 Tip II revidiran
  • SOC 3 sertifikovan
  • Kodeks ponašanja u oblaku
  • BILTEN
  • Potvrda o kontroli usklađenosti sa cloud computingom (CKSNUMKS)
  • FedRAMP sertifikovan (posetite cisco.com/go/fedramp za više detalja, obim i dostupnost)

FedRAMP-sertifikovani Vebek servis je dostupan samo američkim vladama i obrazovnim korisnicima.

Pogledajte Cisco Trust Portal za kompletan set dokumenata o bezbednosti, privatnosti i usklađenosti, uključujući detalje o gore navedenim standardima i sertifikatima.

Da li je ovaj članak bio koristan?
Da li je ovaj članak bio koristan?