- Головна
- /
- Стаття
Вступ
Webex Meetings надає можливість співробітникам та віртуальним командам по всьому світу співпрацювати в режимі реального часу, долаючи відстані та створюючи безперебійний досвід «в кімнаті». Організації, починаючи від комерційних підприємств і закінчуючи державними установами, покладаються на Webex для оптимізації бізнес-процесів та досягнення кращих результатів у продажах, маркетингу, навчанні, управлінні проектами та допоміжних функціях.
Для цих організацій безпека — це не просто функція, а фундаментальна вимога. Чи то планування зустрічей, автентифікація учасників, чи обмін конфіденційними документами, співпраця має бути захищена на кожній точці контакту.
Cisco підвищує цей стандарт за допомогою Ultra Secure Webex Meetings. Вбудовуючи архітектуру нульової довіри безпосередньо в платформу, Cisco гарантує, що безпека є невід'ємною частиною кожної взаємодії. Цей підхід включає:
- Наскрізне шифрування з нульовою довірою (E2EE)— Розширені протоколи шифрування гарантують, що вміст зустрічі залишається конфіденційним і недоступним для неавторизованих сторін, включаючи саму Cisco.
- Наскрізна ідентифікація з нульовою довірою (E2EI)— ця функція використовує надані клієнтом сертифікати для перевірки ідентичності учасників зустрічі, забезпечуючи надійний захист від несанкціонованого доступу та складних дипфейкових атак.
Cisco ставить безпеку на головне місце під час проектування, розробки, розгортання та обслуговування своїх мереж, платформ і додатків. Ви можете з абсолютною впевненістю інтегрувати Webex Meetings у свої бізнес-процеси, знаючи, що ваші інструменти для співпраці розроблені з урахуванням навіть найсуворіших вимог безпеки та відповідності.
Чого ви навчитеся
У цій статті описано функції безпеки платформи для зустрічей Webex Suite (WSMP). У ньому обговорюються типи зустрічей, варіанти розгортання, функції, інструменти, процеси та інженерія, які допомагають клієнтам впевнено співпрацювати в Webex.
Платформа для проведення зустрічей Webex Suite включає:
- Webex Meetings
- Webex Webinars
- Webex Edge Audio
- Аудіо з підключенням до хмари Webex
- Webex Assistant
- Опитування (від Slido)
Ці продукти є частиною єдиного пакету Webex Suite, який об’єднує наради, дзвінки, обмін повідомленнями, роботу з дошкою тощо, забезпечуючи безперебійну співпрацю. Платформа підтримує кількість учасників від 2 до 1000 осіб на зустрічі, до 5000 учасників на вебінарах та 100 000 глядачів на вебтрансляціях, а також пропонує розширені функції, такі як допомога на базі штучного інтелекту, переклад у режимі реального часу та розширені засоби контролю безпеки. Пакет Webex Suite доступний за різними моделями придбання, включаючи підписки на Enterprise Agreement та Named User, а також пропонує додаткові доповнення та інтеграції для задоволення різноманітних потреб організацій.
Майбутні можливості
Деякі функції, обговорені в цьому документі, планується зробити загальнодоступними пізніше у 2026 році. Функції, позначені символом
, планується до випуску у третьому кварталі 2026 року. Функції, позначені символом 
, планується реалізувати у першому кварталі 2027 року. Будь ласка, зверніться до менеджера свого облікового запису, якщо вам потрібен ранній доступ до цих функцій.
Основні послуги та компоненти Webex Meetings
- Webex Meetings є частиною пакету Webex Suite, що забезпечує audio/video конференції з можливостями обміну контентом та веб-конференцій.
- Платформа включає кілька мікросервісів, таких як сервіс зустрічей, сервіс вебінарів, сервіс ідентифікації, сервіс запису, сервіс штучного інтелекту, сервіс аналітики, сервіс адміністрування та сервіс медіа.
- Webex Meetings підтримує хмарні програми та пристрої, що дозволяє користувачам приєднуватися до зустрічей з різних ОС-платформ та пристроїв. Користувачі також можуть приєднуватися до зустрічей через PSTN та за допомогою кінцевих точок SIP.
Архітектура та розгортання
- Сервіси Webex Meetings регіоналізовані та репліковані в кількох незалежних центрах обробки даних для забезпечення резервування та високої доступності.
- Медіасервіси розподілені по всьому світу з кластерами медіасерверів у кожному центрі обробки даних, що забезпечує локальну та географічну резервованість.
- Медіасервери обробляють голос, відео та обмін контентом, причому медіа зазвичай шифрується за допомогою AES-256-GCM.
- Архітектура підтримує зашифровану передачу сигналів через TLS/HTTPS та зашифровані медіапотоки.
Webex підтримує приєднання до зустрічей з різних платформ і пристроїв, зокрема:
- Настільний додаток Webex для Windows, Mac та Linux.
- Мобільний додаток Webex на Android та iOS.
- Веб-застосунок Webex з використанням Chrome, Edge, Safari, Firefox та інших браузерів.
- Кімнатні та настільні пристрої Cisco.
- Аудіо- та відеокінцеві точки сторонніх виробників на основі стандартів SIP.
- Пристрої PSTN.
Розгортання Webex у процесі розвитку: Пріоритет суверенітету та нульової довіри до безпеки
Оскільки організації дедалі більше надають пріоритету суверенітету даних та суворим стандартам безпеки, Webex удосконалює свої моделі розгортання, щоб забезпечити кращий контроль над контентом зустрічей, гарантуючи, що безпека ніколи не погіршуватиметься функціональністю.
Суверенітет клієнтів Webex
У відповідь на зростаючий попит на зберігання даних, Webex запровадив розширені можливості суверенітету. Починаючи із запису, а також завдяки підтримці інших послуг, що з’являться в майбутньому, організації тепер можуть контролювати вміст своїх зустрічей за допомогою:
- Локалізована обробка— Обробка контенту зустрічей, такого як записи, у власній інфраструктурі.
- Локальне сховище— Використання власних служб зберігання файлів для зберігання конфіденційних ресурсів зустрічей, що гарантує збереження даних у визначених географічних або організаційних межах.
Ультрабезпечні зустрічі Webex
Історично, такі функції «надбезпеки», як наскрізне шифрування з нульовою довірою (E2EE), часто вимагали компромісу у функціональності зустрічей, оскільки хмарні послуги з доданою вартістю вимагали доступу до ключів шифрування, і лише обмежена кількість типів кінцевих точок могла приєднатися до цих зустрічей. Webex усунув цей компроміс за допомогою:
- Багатофункціональна система Zero Trust— Webex трансформувала наради Zero Trust із наскрізним шифруванням (E2EE), додавши функції, які роблять наради Zero Trust багатофункціональними. Підтримка ширшої кількості типів кінцевих точок забезпечує безперебійну роботу без шкоди для інструментів, необхідних для сучасної співпраці.
- Нульова довіра для стандартних зустрічей— Webex інтегрував можливості Zero Trust E2EE безпосередньо у стандартні зустрічі. Це гарантує, що навіть щоденна співпраця може скористатися найвищим рівнем безпеки, забезпечуючи стабільний захист у всій екосистемі Webex.
Єдиний підхід до співпраці
Інтегруючи суверенітет клієнтів з цими передовими можливостями Zero Trust E2EE, Webex надає організаціям можливість досягти подвійної мети: проведення високозахищених зустрічей із принципом нульової довіри у хмарі Webex, зберігаючи при цьому повний контроль над обробкою та зберіганням критично важливого контенту зустрічей локально. Ця синергія забезпечує гнучкість та безпеку, необхідні для сучасних корпоративних середовищ, орієнтованих на дотримання вимог.
Система безпеки Webex: Три рівні захисту
Webex пропонує три рівні безпечних зустрічей, розроблених відповідно до суворих вимог щодо відповідності, суверенітету та захисту даних.
- Стандартні зустрічі— Забезпечує надійне шифрування даних під час передачі та зберігання. Хоча ці зустрічі відповідають стандартам безпеки корпоративного рівня, вони не використовують архітектуру нульової довіри, оскільки хмарна інфраструктура зберігає можливість керувати ключами шифрування.
- Стандартні зустрічі з адаптивною безпекою— Покращує стандартну модель, застосовуючи динамічні політики безпеки. Цей рівень надає пріоритет використанню наскрізного шифрування (E2EE) завжди, коли дозволяють можливості середовища учасників та кінцевих точок, балансуючи гнучкість із підвищеною безпекою.
- Наскрізне шифрування (E2EE) для зустрічей із нульовою довірою— представляє найвищий рівень безпеки. Завдяки тому, що ключі шифрування генеруються та керуються виключно учасниками зустрічі, ця модель робить хмарну інфраструктуру «сліпою» до медіапотоку та контенту зустрічі. Ця архітектура забезпечує сувору цілісність даних на основі принципу нульової довіри, запобігаючи розшифруванню на стороні хмари протягом усього сеансу.
Гібридна інфраструктура та інтеграція безпеки
Організації можуть додатково посилити ці рівні безпеки, розгортаючи локальні служби Webex, такі як Webex Video Mesh Node. Ця інтеграція розширює периметр безпеки, забезпечуючи послідовну позицію Zero Trust у хмарі Webex, а також надаючи кілька операційних переваг:
- Оптимізована маршрутизація медіа— Зменшує затримку, зберігаючи медіатрафік локальним, забезпечуючи високу якість роботи для локальних кінцевих точок.
- Локалізоване надання послуг— Забезпечує розміщення певних послуг для проведення зустрічей, таких як локальний запис, суворо дотримуючись вимог безпеки та суверенітету.
- Розширений периметр безпеки— Забезпечує безпечний доступ до внутрішньої інфраструктури з низькою затримкою, гарантуючи збереження цілісності Zero Trust навіть під час інтеграції гібридних компонентів.

Стандартні Webex Meetings надають надійний сервіс відеоконференцій професійного рівня, здатний підтримувати зустрічі з кількістю учасників до 1000. Ключові функції включають сеанси у групах, обмін контентом, інтегроване аудіо та відео, помічника на базі штучного інтелекту, переклад у режимі реального часу, запис зустрічей, чат, обмін файлами, дошки та корпоративні інтеграції. Платформа шифрує сигнальні та медіапотоки за допомогою покрокового шифрування SRTP, що дозволяє хмарі Webex розшифровувати медіа для забезпечення розширених послуг, таких як запис, транскрипція та функції штучного інтелекту.
Контент зустрічей, такий як записи, транскрипції, дошки, чат і файли, безпечно зберігається в хмарі Webex, шифрується за допомогою AES-256-GCM і захищається системою керування ключами, яка підтримує гібридну безпеку даних і опцію «принеси свій власний ключ». Перевірка особи підтримується стандартними методами, включаючи єдиний вхід (SSO) та інтеграцію із зовнішніми постачальниками ідентифікаційних даних. Доступність охоплює широкий спектр кінцевих точок, включаючи SIP-пристрої та користувачів PSTN, що робить рішення придатним для користувачів, яким потрібні комплексні функції з інтеграцією хмарних сервісів та широкою сумісністю пристроїв. Адміністратори мають контроль над збереженням вмісту зустрічей, елементами керування доступом та функціями зустрічей через Webex Control Hub, що забезпечує централізоване керування, діагностику та нагляд за безпекою.

Стандартні зустрічі Webex із адаптивною безпекою включають усі функції стандартних зустрічей Webex, доповнені можливостями наскрізного шифрування Zero Trust. У цій моделі кінцеві точки Webex, що підтримують наскрізне шифрування, використовують протокол Messaging Layer Security (MLS) ( RFC 9420) для узгодження ключів та SFrame ( RFC 9605) для транспортування медіа. Такий підхід забезпечує дві ключові переваги:
- Наскрізне шифрування з нульовою довірою— Коли всі учасники та служби підтримують MLS та SFrame, ключі шифрування зустрічі генеруються та поширюються виключно між учасниками, що запобігає розшифруванню медіапотоків хмарою Webex або будь-яким посередником.
Якщо приєднується кінцева точка або служба, яка не підтримує MLS та SFrame, Webex динамічно впроваджує службу взаємодії SFrame-to-SRTP для конвертації між двома медіаформатами. На цьому етапі рівень безпеки зустрічі змінюється з нульового довіри на безпечний, оскільки Webex отримує доступ до ключів шифрування, що дозволяє кінцевим точкам, що працюють лише з SRTP, та хмарним сервісам Webex, таким як запис і AI Assistant, брати участь. Тим часом кінцеві точки Webex продовжують використовувати MLS та SFrame.
- Наскрізна ідентифікація Zero Trust— усі кінцеві точки Webex, що використовують MLS, обмінюються сертифікатами ідентифікації користувачів під час процесу узгодження ключа зустрічі. Ці сертифікати можуть бути видані організаціями учасників, що дозволяє представляти та перевіряти ідентифікаційні дані незалежно від сервісів Webex. Ця форма ідентифікації з нульовою довірою гарантує, що учасники є тими, за кого вони себе видають, захищаючи від дипфейкових атак без залежності від служб виявлення.

Наскрізне шифрування зустрічей Webex Zero Trust забезпечує підвищену безпеку, поєднуючи наскрізне шифрування з перевіреною ідентичністю учасників. Ця модель безпеки використовує протокол Messaging Layer Security (MLS) для узгодження ключів та SFrame для транспортування медіа, що гарантує, що ключі шифрування зустрічі генеруються та поширюються виключно між учасниками. В результаті, хмара Webex або будь-який посередник не можуть розшифрувати медіапотоки, пропонуючи позицію безпеки Zero Trust.
Основні характеристики включають:
- Наскрізне шифрування Zero Trust— Усі учасники підтримують MLS та SFrame, ключі шифрування зустрічі залишаються доступними лише їм, що запобігає доступу хмарних сервісів або постачальників послуг.
- Наскрізна ідентифікація з нульовою довірою— Учасники обмінюються сертифікатами ідентифікації користувачів під час узгодження ключів, які можуть бути видані їхніми організаціями. Це дозволяє незалежно перевіряти особистість без використання сервісів Webex, захищаючи від імперсонації та deepfake-атак.
- Перевірка безпеки— Усім учасникам відображається код безпеки зустрічі, отриманий з пакетів ключів MLS усіх учасників. Збіг кодів підтверджує, що зустріч не була перехоплена або підроблена зловмисником типу «людина посередник».
- Підтримувані функції та обмеження— Зустрічі Zero Trust підтримують до 1000 учасників, локальний запис, чат під час зустрічі, передачу файлів, створення дошки, анотації, керування віддаленим робочим столом та video/audio водяні знаки. Однак функції, що потребують хмарного доступу до розшифрованих медіафайлів, такі як мережевий запис, транскрипція, помічник зі штучним інтелектом та дзвінки на пристрої PSTN або SIP, не підтримуються. (Розгортаючи гібридну архітектуру Webex, можна вирішити більшість цих обмежень – див. нижче).
- Перевірка особи— Організатори можуть бачити статус перевірки учасників, розрізняючи підтверджені особи (через зовнішні або центри сертифікації Webex) та неперевірених користувачів, що дозволяє краще керувати безпекою зустрічі.
Розширення меж безпеки за допомогою вузла Video Mesh

Додавання вузла Video Mesh до організації дозволяє клієнтам надавати послуги локальних зустрічей, а їхні локальні кінцеві точки можуть приєднуватися до будь-якої зустрічі Webex. З точки зору безпеки, інтеграція вузла Video Mesh підтримує принцип нульової довіри в хмарі Webex, пропонуючи майже паритет функцій зі стандартними зустрічами Webex. Клієнти також отримують вигоду від суверенітету даних, оскільки такі сервіси, як записи зустрічей Video Mesh Node, обробляються та зберігаються локально.
|
Функція |
Зустрічі Webex Pro (стандарт) з локальним вузлом Video Mesh (VMN) |
Наскрізне шифрування (нульова довіра) для зустрічей Webex з локальним вузлом Video Mesh (VMN) |
|---|---|---|
|
Тип шифрування |
Хоп за хопом (TLS/SRTP) |
Кінцевий (MLS) / S-подібна рама) |
|
Місткість учасників |
До 1000 |
До 1000 |
|
Настільний комп’ютер застосунку Webex |
Підтримується |
Підтримується |
|
Мобільний додаток Webex |
Підтримується |
Підтримується |
|
Webex Web App |
Підтримується |
Підтримується |
|
Веб-SDK Webex |
Підтримується |
Підтримується |
|
Відеопристрої Cisco (зареєстровані в хмарі) |
Підтримується |
Підтримується |
|
IP-телефони Webex Calling (зареєстровані в хмарі) |
Підтримується |
Підтримується Телефони Cisco серії 9800 Телефони Cisco серії 8875 |
|
Відеопристрої Cisco (Зареєстровано в CUCM на місці (SIP)) |
Підтримується |
Підтримується (VMN) |
|
IP-телефони Webex Calling (Зареєстровано в CUCM на місці (SIP)) |
Підтримується |
Підтримується (VMN) |
|
ТМЗК |
Підтримується |
Не підтримується – не нульова довіра |
|
Запис зустрічі |
Локальна – підтримується (додаток Webex) Хмарна веб-сторінка – підтримується Локальна – Підтримується (VMN) |
Локальний – підтримується (додаток Webex) Локальна – Підтримується (VMN) |
|
Cisco AI Assistant Короткий зміст, стенограми, завдання |
Хмара Webex – Підтримується Локальна – Підтримується (VMN) |
Хмара Webex – Підтримується Локальна – Підтримується (VMN) |
|
Кімнати для групових занять |
Підтримується |
Підтримується |
|
Вбудовані програми (наприклад Slido) |
Підтримується |
Підтримується Не нульова довіра |
|
Особиста кімната для нарад |
Підтримується |
Підтримується |
|
Лобі & Контроль вступу |
Підтримується |
Підтримується |
|
Приєднатися до хоста |
Підтримується |
Підтримується |
|
Керування віддаленим робочим столом |
Підтримується |
Підтримується |
|
Чат, Файли, Дошки, Анотації |
Підтримується |
Підтримується – не зберігається |
|
Перекодування під час спільного використання екрана з кінцевими точками, що підтримують нижчу роздільну здатність відео |
Підтримується |
Не підтримується Спільний доступ до екрана з низькою роздільною здатністю використовується для всіх учасників, якщо до зустрічі приєднується низькоякісна кінцева точка. |
Використання наскрізного шифрування Zero Trust може додати кілька секунд до приєднання до зустрічі, але воно забезпечує чітку гарантію безпеки — лише учасники зустрічі мають доступ до ключів шифрування зустрічі, тому вміст зустрічі не може бути розшифрований постачальником послуг чи іншими посередниками.
Зведені дані: Моделі розгортання Webex Meetings та гібридні моделі
Як показано у порівнянні вище, розгортання вузла Video Mesh Node (VMN) дозволяє Zero Trust Webex Meetings досягти майже паритету функцій зі стандартними зустрічами Webex. Хоча зустрічі Zero Trust не підтримують учасників PSTN, веб-додаток Webex слугує широкодоступною альтернативою для наскрізного шифрованого доступу. Крім того, VMN дозволяє офісним працівникам, які користуються стаціонарними телефонами, безперешкодно приєднуватися до зустрічей Zero Trust.
Вузол Video Mesh також забезпечує суверенітет даних для критично важливого контенту зустрічей, включаючи записи та — найближчим часом — стенограми, підсумки та завдання. Обробляючи та зберігаючи ці дані локально, VMN надає клієнтам повний контроль над їхньою інформацією, зберігаючи при цьому архітектуру нульової довіри в хмарі Webex.
Приватні зустрічі Webex
Якщо у вашій організації є відеомережа в мережі, адміністратор може ввімкнути приватні наради, звернувшись до представника облікового запису. Ця функція підвищує безпеку вашої зустрічі, припиняючи медіа лише у вашому приміщенні. Коли ви призначаєте приватну зустріч, медіафайли завжди припиняються на вузлах відеосітки всередині вашої корпоративної мережі без хмарного каскаду. Хоча приватні зустрічі Webex забезпечують конфіденційність, зберігаючи медіа лише у вашому приміщенні, вони також вводять обмеження, обмежуючи учасників зустрічі лише членами вашої організації та блокуючи доступ до хмарних сервісів, таких як запис і Cisco AI Assistant.
Щоб отримати докладнішу інформацію про приватні зустрічі Webex та рекомендації щодо проектування для Webex Edge Video Mesh, див. Бажана архітектура для Webex Edge Video Mesh.

Webex пропонує широкий спектр гібридних послуг, які дозволяють організаціям використовувати існуючі інвестиції в локальну інфраструктуру, отримуючи переваги хмарних інновацій, забезпечуючи стабільний користувацький досвід, покращену безпеку та гнучкі варіанти розгортання для Webex Meetings та співпраці загалом. Основні гібридні послуги, доступні для Webex Meetings, включають:
- Медіавузли Video Mesh— Дозволяють IP-телефонам та кінцевим точкам SIP, зареєстрованим в Unified CM, надсилати аудіо-, відео- та екранний контент до кластера Webex Video Mesh під час зустрічей, покращуючи маршрутизацію та якість медіа.
- Запис відео в мережі— дозволяє організаціям записувати зустрічі Webex за допомогою локальної інфраструктури. Це гарантує, що всі дані запису обробляються у вузлі Video Mesh та зберігаються локально, забезпечуючи кращий контроль над місцем зберігання та безпекою даних.
- Локальні послуги штучного інтелекту Webex— Зведення, стенограми та завдання обробляються та зберігаються локально, що забезпечує кращий контроль над місцем зберігання даних та їх безпекою.
- Гібридна служба безпеки даних— дозволяє організаціям зберігати та керувати ключами шифрування Webex у своїх центрах обробки даних локально для підвищення безпеки.
- Служба викликів— Інтеграція існуючого Cisco Unified Communications Manager або іншого локального засобу керування викликами з хмарою Webex, що дозволяє користувачам безперешкодно приєднуватися до зустрічей.
- Служба календаря— Інтеграція з підтримуваними середовищами календарів для планування зустрічей з будь-якого місця без плагінів.
- Служба каталогів— Синхронізація каталогів користувачів між локальним та хмарним середовищами для узгодженого керування ідентифікацією користувачів.
- Webex Edge Audio та Webex Edge Connect— Забезпечують внутрішньомережеві VoIP-канали та виділені IP-з’єднання з підтримкою QoS від приміщень клієнта до хмари Webex, покращуючи якість звуку та зменшуючи витрати, минаючи PSTN.
Шифрування та конфіденційність Webex
Webex Meetings забезпечує надійний захист, шифруючи як сигнальні, так і медіадані під час передачі та зберігання. Усі комунікації між програмами, пристроями та сервісами Webex використовують TLS 1.2 або пізнішої версії зі стійкими наборами шифрів для шифрування сигналізації. Медіапотоки, включаючи аудіо, відео, спільний доступ до екрана та документів, шифруються за допомогою AES-256-GCM як пріоритетного шифру.
Криптографія: Шифрування даних під час передачі
Усі комунікації між хмарними зареєстрованими програмами Webex, пристроями Webex та сервісами Webex відбуваються через зашифровані канали. Webex використовує протокол TLS версії 1.2 або пізнішої з високоміцними наборами шифрів для передачі сигналів.
Після встановлення сеансу через TLS усі медіапотоки (аудіо, відео, спільний доступ до екрана та спільний доступ до документів) шифруються.
Зашифрована сигналізація Webex
Сервіси Webex підтримують версії TLS 1.2 та 1.3, причому TLS 1.3 переважніше, якщо його підтримує кінцева точка підключення. Якщо клієнт підтримує лише TLS 1.2, сервер Webex вибирає найсильніший загальний набір шифрів, запропонований клієнтом. На відміну від TLS 1.2, TLS 1.3 не використовує вибір набору шифрів на основі серверних уподобань, оскільки він спирається на менший, курований набір сучасних шифрів. Такий дизайн спрощує процес вибору, зосереджуючись більше на покращенні продуктивності, такому як зменшення загальної тривалості рукостискання, зберігаючи при цьому високий рівень безпеки. Набори шифрів для TLS 1.2 та 1.3, що використовуються Webex, чітко визначені та мають пріоритет для забезпечення безпечного зв'язку.
Набори шифрів TLS
Набори шифрів TLS 1.3 (сервери TLS 1.3 не використовують порядок уподобань для вибору наборів)
|
Набір шифрів |
Ключ negotiation/generation протокол |
|---|---|
|
TLS_AES_256_GCM_SHA384 |
ECDH SecP256r1MLKEM768 (екв. > 3072 біти RSA) |
|
TLS_AES_128_GCM_SHA256 |
ECDH SecP256r1MLKEM768 (екв. > 3072 біти RSA) |
|
TLS_CHACHA20_POLY1305_SHA256 |
ECDH SecP256r1MLKEM768 (екв. > 3072 біти RSA) |
Набори шифрів TLS 1.2 (набори в порядку, визначеному сервером)
|
Набір шифрів |
Ключ negotiation/generation протокол |
|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH secp256r1 (екв. 3072 біти RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH secp256r1 (екв. 3072 біти RSA)
|
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
ECDH secp256r1 (екв. 3072 біти RSA)
|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH secp256r1 (екв. 3072 біти RSA)
|
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH secp256r1 (екв. 3072 біти RSA)
|
Шифри шифрування AES_256_CBC та AES_128_підтримуються для забезпечення сумісності зі застарілими системами, старими браузерами та вбудованими пристроями, які не підтримують сучасні шифри AEAD (автентифіковане шифрування з пов'язаними даними), такі як AES-GCM, наприклад, Internet Explorer 11 у Windows 7 та Windows 8.1, Safari. 6/7/8 у ранніх випусках iOS та MacOS використовуються шифри на основі CBC.
CHACHA20_POLY1305 — це потоковий шифр, який має низьку залежність від апаратного забезпечення, що робить його чудовим шифром для використання на мобільних пристроях або пристроях з малопотужними процесорами.
Постквантова безпечна криптографія
Постквантова криптографія (PQC) – це захід, що забезпечує майбутнє та діє як проактивний захист від атак типу «Збери зараз, розшифруй пізніше» (HNDL) для даних, що передаються сьогодні.
HNDL спирається на той факт, що поточне асиметричне шифрування (наприклад, RSA та Diffie-Hellman) є вразливим для майбутніх квантових комп'ютерів. Зловмисники «збирають» цей трафік зараз, знаючи, що ще не можуть його зчитати, але роблячи ставку на те, що через 10 років у них будуть інструменти для його розблокування.
PQC реалізує математичне «блокування» вразливих даних. PQC використовує математику на основі ґратки або хешування, стійку як до класичних, так і до квантових алгоритмів. Навіть якщо зловмисник сьогодні отримає дані, зашифровані за допомогою PQC, вони назавжди залишаться для нього «чорною скринькою», оскільки навіть майбутній квантовий комп’ютер не матиме алгоритму для їх злому.
Більшість HNDL-атак спрямовані на обмін ключами (процес, під час якого дві сторони домовляються про секретний ключ). Якщо зловмисник перехопить обмін ключами сьогодні, використовуючи застарілі методи, він зможе отримати ключі сеансу пізніше та розшифрувати всю розмову.
Протоколи Webex TLS та MLS підтримують механізми постквантової інкапсуляції ключів (ML-KEM). Це гарантує, що перше «рукостискання» між користувачем і хмарою Webex буде квантово стійким. Якщо обмін ключами захищений від квантових атак, решта зашифрованого сеансу залишається захищеною від ретроспективного розшифрування.
Webex TLS з підтримкою PQC
Хмара Webex підтримує ECDH-SecP256r1-MLKEM768 для інкапсуляції ключів у наборах шифрів TLS 1.3. Цей гібридний механізм узгодження ключів інтегрує класичний обмін ключами (ECDH поверх SecP256r1) з квантово-стійкою інкапсуляцією ключів (ML-KEM-768). Такий гібридний підхід забезпечує постквантову безпеку, зберігаючи при цьому зворотну сумісність, повертаючись до класичного ECDH, якщо клієнт TLS 1.3 не підтримує ML-KEM.
Використання TLS 1.3 з механізмами постквантової інкапсуляції ключів (PQ-KEM) залежить від операційної системи клієнта, що підключається. Підтримувані системи включають Windows 11, macOS 14.4 (Sonoma), Linus (OpenSSL 3.5+), iOS 26 та Android 17.
Webex MLS з підтримкою PQC
Протокол безпеки рівня обміну повідомленнями (MLS) ( RFC 9420) — це стандартизована IETF високоефективна структура, розроблена для безпечного наскрізного шифрування в груповому спілкуванні. Webex інтегрує ECDH-SecP256r1-MLKEM768 у MLS, щоб забезпечити квантово-стійкі угоди про ключі для зустрічей із наскрізним шифруванням Zero Trust.
Впровадження PQC на рівні MLS забезпечує критично важливу перевагу «глибинного захисту» — воно захищає медіа та контент зустрічей від атак типу «Збери зараз, розшифруй пізніше» (HNDL). Навіть якщо пристрій, що підключається, не має підтримки PQC на рівні ОС, що робить транспортний рівень TLS потенційно вразливим, базовий вміст зустрічі залишається безпечним і не може бути розшифрований майбутніми квантовими обчислювальними ресурсами.
Зашифровані медіафайли Webex
Стандарти шифрування медіа для Webex
Зустрічі та дзвінки Webex використовують надійне шифрування на основі AES для всіх медіапакетів. Конкретний набір шифрів залежить від типу кінцевої точки, при цьому AES-256-GCM є кращим стандартом для оптимальної безпеки.
|
Тип термінального пристрою |
Підтримувані шифри |
|---|---|
|
Додаток Webex та пристрої RoomOS |
AES-256-GCM |
|
Третя сторона SIP/H.323 пристрої |
AES-256-GCM AES-128-GCM AES-CM-128-HMAC-SHA1 |
Ключові міркування безпеки
- Бажаний стандарт— AES-256-GCM є рекомендованим шифром для всіх розгортань, щоб забезпечити найвищий рівень цілісності та конфіденційності даних.
- Взаємодія— Хоча Webex підтримує застарілі шифри (такі як AES-CM-128-HMAC-SHA1) для забезпечення взаємодії зі сторонніми системами SIP та H.323, організації, які надають пріоритет архітектурі нульової довіри, повинні застосовувати AES-256-GCM, де це дозволяє сумісність пристроїв.
Протоколи передачі медіа
Webex підтримує передачу медіа через UDP, TCP або TLS. Для оптимальної роботи голосового та відеозв'язку Cisco наполегливо рекомендує UDP.
Міркування щодо продуктивності:
- Ефективність у реальному часі— UDP є кращим транспортним засобом для медіа в реальному часі, оскільки він мінімізує затримку та тремтіння, уникаючи механізмів повторної передачі та буферизації, властивих протоколам, орієнтованим на з'єднання.
- Вплив TCP/TLS— Хоча TCP та TLS забезпечують надійну, упорядковану доставку даних, така поведінка є контрпродуктивною для медіа в режимі реального часу. Результуючі повторні передачі пакетів та буферизація потоку призводять до затримки та тремтіння, що може значно погіршити якість взаємодії з учасниками.
Використання SRTP та SFrame у Webex для медіа
Для підтримки високих стандартів безпеки, необхідних для середовищ WebexZero Trust, важливо розрізняти безпеку на транспортному рівні (SRTP) та наскрізне шифрування на рівні додатків (SFrame).
|
Функція |
SRTP (Захищений RTP) |
SFrame (Захищений фрейм) |
|---|---|---|
|
Основна мета |
Безпечне транспортування медіа |
Наскрізне шифрування (E2EE) |
|
Шар |
Транспортний рівень |
Application/Payload Шар |
|
Видимість |
Шифрує корисне навантаження RTP; заголовки часто видно |
Шифрує медіафрейм перед передачею |
|
Керування ключами |
DTLS-SRTP |
Роз'єднаний (протокол MLS) |
|
Медіасервер / Взаємодія медіашлюзу (SFU) |
СФУ decrypts/re-encrypts |
SFU "сліпий" (не може розшифрувати) |
Ключові технічні відмінності — SRTP & SFrame
- SRTP (Протокол безпечного транспортування в реальному часі)
SRTP – це галузевий стандарт для захисту медіапотоків під час передачі.
- Область застосування— Забезпечує конфіденційність, автентифікацію повідомлень та захист від відтворення для корисного навантаження RTP.
- Операційний контекст— У багатьох архітектурах медіасервер/медіашлюз (блок вибіркової переадресації (SFU)) завершує з’єднання SRTP для виконання обробки медіа (наприклад, мікшування, композиції макета або транскодування). Оскільки SFU розшифровує носій для його обробки, носій є технічно вразливим у точці SFU.
- SFrame (Захищений фрейм)
SFrame — це стандарт IETF. RFC 9605 розроблено спеціально для забезпечення справжнього наскрізного шифрування в середовищі багатосторонніх конференцій.
- Область застосування— Шифрує пакетовані медіафрейми перед тим, як вони інкапсулюються в RTP-пакети. Webex додає додатковий рівень шифрування за допомогою SRTP.
- Архітектура нульової довіри— Оскільки медіафайли шифруються на рівні додатків, SFU діє лише як «сліпий» ретранслятор. Він пересилає зашифровані пакети іншим учасникам, навіть не маючи доступу до ключів розшифрування.
- Незалежність— SFrame не залежить від транспорту. Він залишається безпечним, навіть якщо базовий транспорт (UDP/TCP/TLS) скомпрометована, оскільки контекст безпеки пов'язаний з кінцевими точками учасників, а не з транспортним з'єднанням.
SFrame – це критичний механізм, який забезпечує E2EE. У той час як SRTP гарантує шифрування даних під час їх передачі мережею, SFrame гарантує, що медіа залишатиметься зашифрованим протягом усього життєвого циклу зустрічі, зокрема під час їхнього перебування в інфраструктурі Cisco (SFU), фактично видаляючи постачальника послуг з межі довіри.
Шифрування даних у стані спокою: Webex Meetings
Дані, що зберігаються в Webex Meetings, класифікуються на дві окремі категорії, кожна з яких має власний профіль безпеки:
- Контент Webex Meetings
- Метадані Webex Meetings
Контент для зустрічей Webex
Контент зустрічі складається з даних, створених учасниками або згенерованих сервісами Webex від імені організатора зустрічі. Зокрема:
- Медіаконтент— Записи, стенограми, короткий зміст та завдання.
- Дані співпраці— повідомлення чату, shared/transferred файли, дошки та анотації.
Безпека контенту Webex Meetings — наскрізне шифрування Webex
Webex захищає контент зустрічей, створений учасниками, за допомогою надійної системи наскрізного шифрування (E2EE). Центральним елементом цієї архітектури є служба керування ключами Webex (KMS), яка відповідає за створення, розповсюдження та керування ключами шифрування для всього контенту, створеного користувачами.
Рівні безпеки вмісту зустрічей
- Дані під час передачі— Додаток Webex та відеопристрої Cisco використовують наскрізне шифрування Webex (E2EE) з AES-256-GCM для шифрування контенту зустрічей, створеного користувачем, такого як файли записів, файли зведення штучного інтелекту, повідомлення чату тощо. Це додатково інкапсульовано в протоколі безпеки транспортного рівня (TLS) для забезпечення дворівневого захисту під час передачі.
- Дані в стані спокою— Після зберігання в хмарі Webex зашифрований контент додатково захищається шифруванням диска AES-256-GCM.
- Профіль захисту— Цей підхід захищає контент від перехоплення TLS під час передачі та гарантує, що збережені дані залишатимуться недоступними для неавторизованих осіб у хмарному середовищі.
Наскрізне шифрування Webex із керованим доступом до контенту для основних послуг
На відміну від наскрізного шифрування Zero Trust, де Webex не має доступу до ключів шифрування медіа або контенту, наскрізне шифрування Webex дозволяє платформі використовувати ключі, згенеровані Webex KMS, для розшифрування даних для основних сервісів. Цей керований доступ дозволяє:
- Пошук та індексування— Дозволяє користувачам шукати в історії вмісту.
- Відповідність вимогам та управління— Забезпечує запобігання втратам даних (DLP), електронне розкриття інформації та архівування даних.
- Оптимізація медіа— Підтримує перекодування файлів для сумісності між різними пристроями.
- Безпека— Полегшує сканування на наявність шкідливого програмного забезпечення за допомогою розширеного пакета безпеки.
Метадані зустрічей Webex
Метадані зустрічей складаються з адміністративної та технічної інформації, що генерується системою для сприяння проведенню, відстеження та управління зустріччю, а не з фактичного вмісту (аудіо, відео чи спільних файлів) самої зустрічі. Метадані можна розділити на кілька категорій:
- Інформація про сеанс— Назва зустрічі, ідентифікатор зустрічі, запланований час початку та завершення, а також фактична тривалість зустрічі.
- Дані учасників— Список запрошених та фактичних учасників, їхні IP-адреси, типи пристроїв (наприклад, Windows, iPhone, Cisco Room Kit) та їхні join/leave часові позначки.
- Метрики використання та якості— дані, що використовуються для усунення несправностей, такі як втрата пакетів, тремтіння, затримка та роздільна здатність відеопотоку.
Як використовуються метадані
- Аналітика та звітність— Адміністратори використовують метадані в WebexControl Hub, щоб бачити, скільки зустрічей відбувається, які відділи найактивніші та загальну якість взаємодії.
- Виправлення неполадок— Cisco TAC (Центр технічної допомоги) використовує метадані для виявлення та вирішення проблем із зустрічами.
- Відповідність вимогам та електронне розкриття інформації— Співробітники з питань відповідності можуть шукати метадані, щоб довести, що зустріч відбулася, хто був присутній та чи була вона записана, навіть якщо вони не можуть бачити зашифрований вміст зустрічі.
- Безпека— Метадані допомагають виявляти спроби несанкціонованого доступу або незвичайні закономірності, які можуть свідчити про загрозу безпеці.
Безпека та конфіденційність метаданих
- Шифрування— Хоча метадані не шифруються «від початку до кінця», вони все одно шифруються під час передачі (за допомогою TLS) та зберігання в захищених центрах обробки даних Cisco.
- Контроль доступу— Політика конфіденційності Cisco суворо обмежує, хто може отримати доступ до цих метаданих, і вони використовуються для надання та покращення послуги.
Щоб отримати додаткові відомості про вміст і метадані зустрічей Webex, див. Розкриття інформації про пропозицію Webex Meetings.
Типи сеансів Webex Meetings
Типи сеансів Webex Meetings – це конфігурації або шаблони, які визначають функції та параметри, доступні для зустрічей, запланованих на сайті Webex. Ці типи сеансів можуть бути стандартними або налаштованими адміністраторами сайту для ввімкнення або вимкнення певних функцій для користувачів. Така гнучкість дозволяє організаціям адаптувати процес проведення зустрічей відповідно до вимог безпеки та потреб користувачів. Для отримання додаткової інформації див. Керування типами сеансів у Центрі керування. 
Призначення типів сеансів зустрічей користувачам
Адміністратори Webex Control Hub можуть призначити один або кілька типів зустрічей, які їхні користувачі зможуть використовувати для запланованих зустрічей. За замовчуванням усім користувачам призначено типи зустрічей Pro Meeting та Pro-End to End Encryption_VoIPonly.
Запланувати зустріч — виберіть тип зустрічі
Користувачі можуть вибрати тип зустрічі, який вони хочуть використовувати під час планування зустрічі, у застосунку Webex, на сторінці користувача Webex та в надбудові електронної пошти Webex для Microsoft Outlook.
Запланувати зустріч — виберіть тип зустрічі в додатку Webex
Запланувати зустріч — виберіть тип зустрічі на сторінці користувача Webex
Встановлення типу зустрічі за замовчуванням
Користувачі можуть встановити тип зустрічі за замовчуванням у розділі на сторінці користувача Webex.
Тип зустрічі за замовчуванням застосовується як до запланованих зустрічей, так і до особистих кімнат для зустрічей.
Встановіть тип зустрічі за замовчуванням на сторінці користувача Webex
Безпека для запланованих зустрічей Webex та персональних кімнат для переговорів Webex
Заплановані зустрічі Webex та персональні кімнати для зустрічей Webex суттєво відрізняються функціями безпеки та цільовим призначенням.
Заплановані зустрічі розроблені для безпечних, запланованих сесій і пропонують комплексний набір засобів контролю безпеки, включаючи захист паролем, реєстрацію учасників, перевірку лобі, вимкнення опцій «приєднатися до організатора» та унікальні URL-адреси зустрічей для кожної сесії. Ці функції допомагають забезпечити, щоб приєднатися могли лише авторизовані учасники, а організатори контролювали середовище зустрічі.
Натомість, персональні кімнати для нарад надають постійну URL-адресу для швидких неформальних зустрічей з довіреними учасниками. Вони включають основні функції безпеки, такі як керування лобі, ручне або автоматичне блокування та CAPTCHA для запобігання автоматизованим атакам. Однак, оскільки URL-адреса особистої кімнати є постійною, вона може становити підвищений ризик для безпеки, якщо її широко поширюють.
Для зустрічей, що потребують суворого контролю безпеки, рекомендується використовувати заплановані зустрічі, тоді як персональні кімнати для переговорів краще підходять для довірених груп, які надають пріоритет легкості доступу над суворим контролем безпеки.
Адміністратори центру керування можуть налаштовувати наради в особистих кімнатах Webex лише для використання у внутрішніх нарадах.
Налаштування безпеки зустрічей для адміністраторів
Control Hub пропонує комплексний набір елементів керування безпекою для запланованих зустрічей Webex, що дозволяє адміністраторам адаптувати доступ до зустрічей та керування учасниками до політик організації. Ці елементи контролю включають:
- Налаштування лобі зустрічі — налаштуйте поведінку лобі для гостей та неперевірених користувачів, зокрема опції, які дозволять гостям приєднуватися безпосередньо, чекати у лобі або блокувати приєднання.
- Групи категорій лобі для внутрішніх, зовнішніх та неперевірених (гостьових) користувачів.
- Мітки учасників — доменні імена внутрішніх учасників and/or зовнішні учасники, мітка «Неперевірено» для неавтентифікованих (гостєвих) учасників.
- Функція автоматичного допуску до зустрічі — дозволяє автентифікованим, запрошеним користувачам і кімнатам приєднуватися до зустрічей або розпочинати їх без втручання організатора, поки незапрошені користувачі чекають у вестибюлі або заблоковані.
- Автоматичне блокування зустрічі — автоматичне блокування зустрічей через певну кількість хвилин (0, 5, 10, 15 або 20) від часу початку, щоб запобігти запізненню учасників.
- Поведінка блокування зустрічі — визначте, що відбувається, коли зустріч заблоковано, тобто чи учасники чекають у вестибюлі, чи їм заборонено приєднатися.
- Застосовувати паролі для зустрічей — вимагати паролі для учасників, які приєднуються з телефонів або систем відеоконференцій, з додаванням до запрошень згенерованих системою числових паролів.
- Встановіть конкретні вимоги до довжини та складності пароля для зустрічей.
- Приховати посилання на зустріч від учасників — заборонити учасникам легко копіювати та ділитися посиланнями на зустрічі під час зустрічі, щоб зменшити несанкціонований доступ.
- Вимкнути віртуальні камери — користувачам macOS слід вимкнути віртуальні камери сторонніх виробників, щоб підвищити безпеку, обмеживши доступ до камер лише для Webex.
- Додавання водяних знаків до зустрічей — увімкніть додавання водяних знаків до аудіо та відео, щоб ідентифікувати джерело записів або знімків екрана, що допомагає виявляти витік даних.
- Контроль доступу на основі домену для зовнішніх та внутрішніх зустрічей — контроль за тим, чи можуть користувачі приєднуватися до зовнішніх зустрічей, та обмеження доступу зовнішніх користувачів до внутрішніх зустрічей.
- Шаблони для груп користувачів — застосовуйте налаштування функцій зустрічей до груп користувачів або окремих користувачів за допомогою шаблонів.
Додаткову інформацію див. на сторінці
Практичні поради Webex для безпечних нарад: Control Hub
Додаток Webex | Про лобі у Webex Meetings
Налаштування міток учасників, що відображаються в Webex Meetings
Елементи керування спільним доступом до вмісту зустрічі для адміністраторів
Центр керування дозволяє адміністраторам контролювати, як контент, такий як записи, зведення, завдання тощо, можна поширювати під час та після зустрічі, а також контролювати, як довго контент зустрічі зберігається в хмарі Webex, перш ніж його буде автоматично видалено.
Елементи керування вмістом
Політика зберігання контенту зустрічі
Організатор зустрічі має повний контроль над її організацією та повинен забезпечити, щоб до неї могли приєднатися лише ті, кого він запрошує. Також організатор повинен дотримуватися політик безпеки організації щодо планування зустрічей. Щоб дізнатися, як забезпечити безпеку Webex Meetings як організатор, див. Рекомендації Webex для безпечних зустрічей: Хости.
Залежно від політик безпеки, деякі організації можуть повністю блокувати своїм користувачам можливість приєднуватися до будь-яких зовнішніх зустрічей або дозволяти своїм користувачам приєднуватися до зустрічей лише зі списку схвалених зовнішніх сайтів. Крім того, організації можуть обмежувати своїм користувачам використання певних функцій під час зустрічей, таких як чат, передача файлів, анотації, Q & A та опитування під час приєднання до зовнішньої зустрічі. Обмеження співпраці від Webex можуть забезпечити ці функції. Докладніше див. Обмеження співпраці для Webex Meetings у Control Hub.
Контроль безпеки для організаторів зустрічей Webex
Організатори зустрічей Webex відіграють вирішальну роль у забезпеченні безпеки та цілісності віртуальних зустрічей. Вони мають комплексний набір елементів керування, призначених для керування доступом учасників, перевірки особистості та захисту вмісту зустрічі:
- Елементи керування вестибюлем зустрічі — організатори можуть приймати або видаляти учасників, які очікують у вестибюлі, що групує користувачів як внутрішніх, зовнішніх або неперевірених гостей. Це дозволяє перевіряти учасників перед входом.
- Блокування зустрічі — організатори можуть вручну блокувати або розблоковувати зустріч, щоб запобігти приєднанню нових учасників після її початку. Також можна налаштувати автоматичне блокування зустрічей після певного часу (0, 5, 10, 15 або 20 хвилин).
- Захист паролем — заплановані зустрічі за замовчуванням захищені паролем. Організатори можуть примусово встановлювати паролі зустрічей для учасників, які приєднуються через телефон або системи відеоконференцій.
- Функція автоматичного допуску — організатори можуть дозволити автентифікованим, запрошеним користувачам і кімнатам приєднуватися до зустрічей або розпочинати їх без втручання організатора, тоді як незапрошені користувачі чекають у вестибюлі або блокуються.
- Керування учасниками — організатори можуть виключати учасників у будь-який час під час зустрічі, щоб видалити небажаних учасників.
- Приєднатися до керування організатором — організатори можуть увімкнути або вимкнути опцію для учасників приєднання до зустрічі до його прибуття, яку рекомендується вимкнути з міркувань безпеки.
- Елементи керування вимкненням звуку — організатори можуть вимикати або вмикати звук учасників, а також контролювати, чи можуть учасники вмикати звук самостійно, щоб зменшити перешкоди.
- Сигнали входу та виходу — організатори можуть увімкнути звукові сповіщення, коли учасники приєднуються до зустрічі або виходять із неї, щоб контролювати відвідуваність.
- Додавання водяних знаків — хости можуть увімкнути додавання водяних знаків до аудіо та відео, щоб ідентифікувати джерело записів або знімків екрана, допомагаючи запобігти витоку даних.
- Перевірка особи — організатори можуть попросити учасників увімкнути відео або назвати своє ім'я, щоб підтвердити особу та затвердити учасників.
- Контроль завершення зустрічі — організатори можуть завершити зустріч для всіх учасників, щоб забезпечити повне закриття сеансу.
Для отримання додаткової інформації див. Найкращі практики для безпечних зустрічей: хости.
Варіанти безпеки для організаторів під час планування зустрічі
Варіанти безпеки для організаторів під час планування зустрічі
Боротьба з новими загрозами безпеці – Видавання себе за користувача під виглядом Deepfake
Загрози дипфейків у Webex Meetings представляють собою значну нову проблему безпеки. Діпфейки використовують штучний інтелект для створення дуже реалістичного, але фальшивого аудіо- та відеоконтенту, який може видавати себе за справжніх учасників зустрічі. У контексті Webex Meetings це може дозволити зловмисникам видавати себе за довірених осіб, маніпулювати вмістом зустрічей або проводити атаки соціальної інженерії, що потенційно може призвести до несанкціонованого доступу, витоків даних або шахрайства.
Webex включає кілька елементів керування безпекою, які допомагають зменшити ризики, пов'язані з несанкціонованим доступом та видаванням себе за іншу особу. До них належать елементи керування лобі зустрічі для перевірки учасників перед входом, функції блокування зустрічі для запобігання запізненню приєднання, примусовий захист паролем, запити на перевірку особистості учасників та додавання водяних знаків до аудіо та відео для відстеження джерела записів або знімків екрана. Разом із Deepfake Detection та Deepfake Prevention ці заходи створюють багаторівневий захист, який підвищує безпеку зустрічей від deepfake та інших складних загроз, допомагаючи організаціям захищати конфіденційну інформацію та підтримувати довіру у своєму середовищі віртуальної співпраці.
Виявлення дипфейків
Cisco співпрацює з GetReel та Pindrop для інтеграції передових технологій виявлення дипфейків на основі штучного інтелекту та голосової автентифікації в Webex Suite. Ця інтеграція дозволяє виявляти та блокувати синтетичний звук і відео в режимі реального часу під час зустрічей без необхідності додаткового обладнання. Рішення використовує багатофакторний аналіз ризиків, включаючи голосову біометрію, аналітику пристроїв та поведінки, а також глобальну розвідку про шахрайство, для пасивної автентифікації учасників та виявлення спроб діпфейків з високою точністю. Цей безперервний фоновий аналіз допомагає захистити зустрічі від шахрайства на основі штучного інтелекту, зберігаючи при цьому безперебійний користувацький досвід.
Запобігання дипфейкам: Сертифікати посвідчення особи, надані клієнтом
Нульова довіра, комплексна ідентифікація та запобігання дипфейкам
Сертифікати ідентифікації кінцевого користувача, надані клієнтом, є наріжним каменем запобігання видаванню себе за іншу особу під час зустрічей Webex із наскрізним шифруванням (E2EE). На відміну від традиційних механізмів блокування дипфейків, які базуються на аналізі аудіо- та відеопотоків, цей підхід забезпечує криптографічну перевірку ідентичності в момент доступу. Цей підтверджений статус відображається безпосередньо у списку учасників зустрічі, забезпечуючи прозорість для всіх учасників.
Webex розширив підтримку сертифікатів, керованих клієнтами (раніше доступних на пристроях RoomOS), на Webex App у рамках нашої функції «Захист від Deepfake». Організації можуть надавати та керувати власними цифровими сертифікатами, виданими довіреними зовнішніми центрами сертифікації (ЦС) за допомогою стандартних галузевих протоколів, таких як ACME. Ці сертифікати, засновані на стандартах X.509 та парах ключів ECDSA P-256, забезпечують криптографічне підтвердження ідентифікації учасників під час зустрічей E2EE.
Наскрізна перевірка ідентичності та протокол MLS
Протокол безпеки рівня обміну повідомленнями (MLS) використовує стандартні сертифікати X.509 для автентифікації учасників зустрічі. Сертифікат — це цифровий підпис від довіреного центру сертифікації, який підтверджує особу власника ключа підпису. Учасники отримують ці сертифікати двома основними способами:
- Керовані пристрої (сертифікати, надані клієнтом)— Для настільних комп’ютерів та мобільних клієнтів, що керуються організацією, на пристрої можна встановити сертифікат ідентифікації від довіреного центру сертифікації. Коли користувач входить у систему за допомогою єдиного входу (SSO), застосунок Webex отримує цей сертифікат зі сховища довірених сертифікатів ОС, щоб представити підтверджену особу користувача. Цей процес також підтримується для відеопристроїв Cisco, зареєстрованих у хмарі Webex.
- За замовчуванням (сертифікати, надані Webex)— Якщо сертифікат, наданий клієнтом, недоступний, клієнт або пристрій Webex автоматично використовує сертифікат, виданий центром сертифікації Webex, який відображає особу, перевірену Cisco.
Спільне використання ідентифікаційних даних та резервний механізм
Під час зустрічі кожен учасник надає всім іншим учасникам доступ до свого сертифіката посвідчення особи Webex та, якщо він є, до сертифіката посвідчення особи, наданого клієнтом. Для забезпечення безперебійного підключення кінцева точка Webex дотримується суворої ієрархії: Система надає пріоритет сертифікату, наданому клієнтом, для перевірки; якщо цей сертифікат відсутній або не проходить перевірку, система автоматично повертається до сертифіката посвідчення особи, наданого Webex.
Відображення стану перевірки особи користувача
Коли учасники приєднуються до зустрічі за допомогою застосунку Webex або пристроїв RoomOS із сертифікатами, наданими клієнтом, їхні особи перевіряються іншими учасниками зустрічі за допомогою ЦС, що видав сертифікат. Це гарантує розпізнавання лише авторизованих користувачів, запобігаючи зловмисникам видавати себе за законних учасників, оскільки ці сертифікати унікально пов'язані з перевіреними особами та не можуть бути підроблені Cisco або посередниками.
У списку учасників зустрічі, зашифрованої за допомогою E2E, відображається статус перевірки особи кожного користувача:
- Zero-Trust E2E Verified (
domain.com ) — коли використовується сертифікат ідентифікації, наданий клієнтом, домен учасника відображається синім кольором. Це вказує на справжню перевірену E2E ідентифікацію, яку Cisco не може підробити. Наприклад, у списку учасників зустрічі ви можете побачити, що «Кевін» має підтверджену адресу електронної пошти з example.com, виділену синім кольором. - Webex-Verified (
domain.com) — сертифікати, видані центром сертифікації Webex, забезпечують обмеженіший рівень захисту. Хоча ці учасники й кращі за відсутність захисту особистості, вони не позначені як «перевірені за принципом Zero Trust E2E». Натомість статус їхньої ідентифікації відображається сірим текстом, що вказує на те, що особу було перевірено центром сертифікації Webex. - Неперевірений гість (
Неперевірено) — хоча особа учасників-гостей не автентифікована (оскільки немає процесу входу), їм все одно потрібен сертифікат, щоб приєднатися до групи MLS для виклику або зустрічі. Цей сертифікат видано центром сертифікації Webex, а як ім’я користувача використовується «анонімний».
Крім того, код безпеки зустрічі, отриманий на основі криптографічного стану всіх учасників, допомагає виявляти атаки типу «особа посередині», дозволяючи учасникам перевірити, чи всі вони використовують однаковий захищений контекст зустрічі. Поєднуючи криптографічну перевірку особи з наскрізним шифруванням, ця функція «захист від глибоких фейків» пропонує надійний захист від загроз, пов’язаних з видаванням себе за іншу особу та синтетичними медіа, захищаючи цілісність та конфіденційність зустрічей як на пристроях Webex App, так і на пристроях RoomOS.
Керування розгортанням сертифікатів
Організації можуть спростити розгортання та керування цими сертифікатами ідентифікації кінцевих користувачів, наданими клієнтами, встановивши їх на корпоративно керовані пристрої за допомогою програм керування мобільними пристроями (MDM), керування мобільними додатками (MAM) або керування корпоративною мобільністю (EMM). Ці платформи керування дозволяють ІТ-адміністраторам централізовано надавати, налаштовувати та контролювати сертифікати та пов’язані з ними політики безпеки на широкому спектрі пристроїв, як корпоративних, так і приватних. Наприклад, Microsoft Intune підтримує можливості як MDM, так і MAM, що дозволяє організаціям розгортати та керувати застосунком Webex та його конфігураціями безпеки, включаючи сертифікати ідентифікації, на керованих пристроях. Аналогічно, Cisco Meraki Systems Manager надає можливості MDM для реєстрації пристроїв, надсилання профілів конфігурації та розгортання сертифікатів, щоб забезпечити статус надійного пристрою. Використання цих рішень для управління зменшує адміністративні накладні витрати, спрощує управління життєвим циклом сертифікатів і покращує рівень безпеки для зустрічей Webex E2EE завдяки функціям «запобігання глибоким підробкам».
Керування ідентифікацією Webex
Webex використовує архітектуру нульової довіри — «ніколи не довіряй, завжди перевіряй» — для керування ідентифікаторами користувачів. Використовуючи стандартні галузеві протоколи (SAML 2.0, OIDC, OAuth 2.0 та SCIM 2.0), Webex забезпечує безпечний, масштабований та автоматизований контроль доступу. У цьому розділі окреслено технічну основу для інтеграції постачальників ідентифікації (IdP) та підтримки безпечного середовища для співпраці.
Три стовпи ідентичності
Ефективне керування ідентифікацією та доступом (IAM) для Webex спирається на:
- Надання ресурсів (CRUD) — керування життєвими циклами користувачів (створення, читання, оновлення, видалення) для забезпечення відповідності «Джерела достовірних даних» платформі для співпраці.
- Автентифікація (AuthN) — перевірка особи користувача за допомогою безпечних облікових даних або токенів.
- Авторизація (AuthZ) — визначення детальних дозволів та рівнів доступу до API після автентифікації.
Надання послуг & Управління життєвим циклом
Webex підтримує кілька методів синхронізації користувачів і груп:
- SCIM 2.0— Бажаний хмарний стандарт. Це автоматизує життєвий цикл користувача, гарантуючи, що видалення з облікового запису в постачальнику ідентифікаційних даних автоматично скасовує доступ до Webex.
- З’єднувач каталогів— інструмент Cisco для гібридних середовищ, що з’єднує локальну мережу Active Directory (AD) з хмарою Webex.
- Надання послуг на основі API— Використовує Webex «People API» для програмного створення користувачів та призначення ліцензій у складних середовищах.
- Застарілий LDAP— Підтримується для локальних каталогів (наприклад, CUCM), хоча менш оптимізований для сучасного хмарного трафіку.
Автентифікація & Системи авторизації
- Автентифікація (AuthN):
- SAML 2.0— корпоративний стандарт для єдиного входу (SSO). Webex виступає постачальником послуг (SP), перевіряючи XML-твердження від корпоративного постачальника ідентифікаційних даних.
- OIDC (OpenID Connect)— Сучасний, легкий рівень ідентифікації, побудований на OAuth 2.0 з використанням JSON Web Tokens (JWT). Він підтримує "URL-адреси виявлення" для автоматичного налаштування.
- Авторизація (AuthZ):
- OAuth 2.0— Керує доступом до API через короткочасні токени доступу (що визначають області дії) та довговічні токени оновлення. Він забезпечує безпеку за допомогою PKCE (Proof Key for Code Exchange) для публічних клієнтів.
Інтеграція & Стратегії з кількома постачальниками ідентифікаційних даних
Webex пропонує спеціалізовані шляхи для безперешкодної інтеграції:
- Майстер введення ідентифікаторів— рекомендований шлях для середовищ Microsoft. Він використовує API Microsoft Graph для розширеної синхронізації атрибутів (аватарів, ієрархій) та автоматизує OIDC/SAML конфігурація.
- Duo Security— Додає функцію «Безперервна безпека ідентифікації», перевіряючи стан пристрою та вмикаючи багатофакторну автентифікацію, стійку до фішингу.
Підтримка кількох постачальників ідентифікаційних даних:Webex дозволяє організаціям об'єднувати кількох незалежних постачальників ідентифікаційних даних в межах одного центру керування.
- Варіанти використання — злиття, поглинання або децентралізовані ІТ-відділи.
- Маршрутизація — запити на автентифікацію маршрутизуються на основі доменів або груп користувачів.
- Врахування — вимагає суворої координації для підтримки узгоджених політик безпеки в усіх об’єднаних джерелах.
Приклад найпоширеніших інтеграцій ідентифікації IdP з Webex:
|
Платформа IdP |
Протокол єдиного входу (SSO) |
Підтримка SCIM |
|---|---|---|
|
Ідентифікатор Microsoft Entra |
SAML 2.0, OIDC |
Так |
|
Okta |
SAML 2.0, OIDC |
Так |
|
PingFederate |
SAML 2.0, OIDC |
Так |
|
Google Apps |
SAML 2.0 |
Ні (підтримується JIT) |
|
ADFS |
SAML 2.0 |
Ні |
Найкращі практики та стійкість
- Відновлення SSO — завжди використовуйте вбудоване посилання «Відновлення SSO» в Центрі керування, щоб обійти SSO за допомогою одноразового пароля (OTP), якщо налаштування IdP не вдається.
- Керування сертифікатами — моніторинг закінчення терміну дії сертифіката SAML. Майстер єдиного входу автоматизує обмін метаданими, зменшуючи кількість помилок, що виникають вручну.
- Виправлення неполадок — використовуйте інструмент SAML Tracer для перевірки XML-тверджень та перевірки форматів NameID, якщо виникають проблеми з автентифікацією.
- Стан безпеки — регулярно виключайте застарілі типи грантів та забезпечте впровадження PKCE для всіх інтеграцій публічних клієнтів.
Висновок — Ідентичність для зустрічей Webex
Надійна стратегія ідентифікації – це безперервний процес життєвого циклу. Поєднуючи SCIM для забезпечення, OIDC/SAML для автентифікації та OAuth для авторизації, організації можуть забезпечити безпечний та безперебійний досвід для користувачів, зберігаючи при цьому суворий адміністративний контроль.
Модель безпеки Webex
Cisco залишається твердо налаштованою на збереження лідерства в галузі хмарної безпеки. Підрозділ безпеки та довіри Cisco співпрацює з командами по всій компанії, щоб побудувати безпеку, довіру та прозорість у рамках, які підтримують проектування, розробку та експлуатацію основних інфраструктур для досягнення найвищих рівнів безпеки в усьому, що ми робимо.
Ця організація також прагне надавати нашим клієнтам інформацію, необхідну для зменшення та управління ризиками кібербезпеки.
Модель безпеки Webex (рис. 8) побудована на тому ж фундаменті безпеки, який глибоко вкорінений у процесах Cisco.
Організація Webex послідовно дотримується основоположних елементів для безпечної розробки, експлуатації та моніторингу сервісів Webex. Ми обговоримо деякі з цих елементів у цьому документі.

Безпека та довіра Cisco
Життєвий цикл безпечної розробки Cisco
У Cisco безпека не є другорядною проблемою. Це дисциплінований підхід до створення та надання продуктів і послуг світового класу з нуля. Усі команди розробників продуктів Cisco® зобов'язані дотримуватися життєвого циклу безпечної розробки Cisco. Це повторюваний та вимірюваний процес, розроблений для підвищення стійкості та надійності продуктів Cisco. Поєднання інструментів, процесів та навчання з підвищення обізнаності, запроваджених на всіх етапах життєвого циклу розробки, допомагає забезпечити глибоко ешелонований захист. Це також забезпечує цілісний підхід до стійкості продукту. Команда розробників продуктів Webex пристрасно дотримується цього життєвого циклу в кожному аспекті розробки продукту.
Дізнайтеся більше про безпечний життєвий цикл розробки.
Базові засоби безпеки Cisco
Організація Cisco з питань безпеки та довіри надає процес і необхідні інструменти, які дають кожному розробнику можливість займати послідовну позицію, стикаючись із рішенням щодо безпеки.
Наявність спеціальних команд для створення та надання таких інструментів усуває невизначеність у процесі розробки продукту.
Деякі приклади інструментів включають:
- Вимоги базових норм безпеки продукції (PSB), яким повинні відповідати продукти
- Інструменти для створення загроз, що використовуються під час моделювання загроз
- Керівні принципи кодування
- Перевірені або сертифіковані бібліотеки, які розробники можуть використовувати замість написання власного коду безпеки
- Інструменти тестування вразливостей безпеки (для статичного та динамічного аналізу), що використовуються після розробки для перевірки на наявність дефектів безпеки
- Відстеження програмного забезпечення, яке контролює бібліотеки Cisco та сторонніх розробників і повідомляє команди розробників про виявлення вразливості
Організаційна структура, що забезпечує безпеку в процесах Cisco
Cisco має спеціальні відділи для впровадження та управління процесами безпеки в усій компанії. Щоб постійно бути в курсі загроз і викликів безпеці, Cisco покладається на:
- Хмарна команда Cisco Information Security (InfoSec)
- Команда реагування на інциденти безпеки продуктів Cisco (PSIRT)
- Спільна відповідальність за безпеку
Хмара інформаційної безпеки Cisco
Ця команда, яку очолює головний директор з безпеки хмарних технологій, відповідає за забезпечення безпечного середовища Webex для наших клієнтів. InfoSec досягає цього, визначаючи та забезпечуючи дотримання процесів і інструментів безпеки для всіх функцій, пов'язаних з наданням Webex нашим клієнтам.
Крім того, Cisco InfoSec Cloud співпрацює з іншими командами Cisco, щоб реагувати на будь-які загрози безпеці сервісу Webex.
Cisco InfoSec також відповідає за постійне вдосконалення системи безпеки Webex.
Команда реагування на інциденти безпеки продуктів Cisco (PSIRT)
Cisco PSIRT — це спеціалізована глобальна команда, яка керує надходженням, розслідуванням та звітуванням про проблеми безпеки, пов’язані з продуктами та послугами Cisco. PSIRT використовує різні засоби для публікації інформації, залежно від серйозності проблеми безпеки. Тип звітності залежить від таких умов:
- Існують виправлення програмного забезпечення або обхідні шляхи для усунення вразливості, або планується подальше публічне розкриття виправлень коду для усунення вразливостей високого ступеня серйозності.
- PSIRT спостерігав активне використання вразливості, яка може призвести до більшого ризику для клієнтів Cisco. У цьому випадку PSIRT може пришвидшити публікацію оголошення про безпеку з описом вразливості без повної доступності виправлень.
- Громадська обізнаність про вразливість, що впливає на продукти Cisco, може призвести до більшого ризику для клієнтів Cisco. Знову ж таки, PSIRT може попереджати клієнтів, навіть без повної доступності патчів.
У всіх випадках PSIRT розкриває мінімальний обсяг інформації, який знадобиться кінцевим користувачам для оцінки впливу вразливості та вжиття необхідних заходів для захисту свого середовища. PSIRT використовує шкалу Загальної системи оцінювання вразливостей (CVSS) для оцінки серйозності виявленої проблеми. PSIRT не надає інформацію про вразливості, яка могла б дозволити комусь створити експлойт.
Щоб отримати додаткові відомості про PSIRT, див. Команда реагування на інциденти безпеки продуктів Cisco.
Відповідальність за безпеку
Хоча кожна людина в групі Webex відповідає за безпеку, основні правила такі:
- Головний спеціаліст з безпеки, Хмара
- Віце-президент і генеральний менеджер із програм для спільної роботи в хмарі Cisco
- Віце-президент з інженерії, додатки для спільної роботи з хмарними системами Cisco
- Віце-президент з управління продуктами, додатки для спільної роботи з хмарними системами Cisco
Внутрішні та зовнішні тести на проникнення
Група Webex регулярно проводить ретельне тестування на проникнення, використовуючи внутрішніх оцінювачів. Окрім власних суворих внутрішніх процедур, Cisco InfoSec також залучає численні незалежні треті сторони для проведення ретельних аудитів на відповідність внутрішнім політикам, процедурам і додаткам Cisco. Ці аудити розроблені для перевірки критично важливих вимог безпеки як для комерційних, так і для державних застосувань. Cisco також використовує сторонніх постачальників для проведення постійних, поглиблених тестів на проникнення та оцінок послуг за допомогою коду. В рамках залучення третя сторона виконує такі оцінки безпеки:
- Виявлення критичних вразливостей програм і сервісів і пропонування рішень
- Рекомендації щодо загальних напрямків архітектурного покращення
- Виявлення помилок кодування та надання рекомендацій щодо покращення практики кодування
Сторонні оцінювачі працюють безпосередньо з інженерним персоналом Webex, щоб пояснити висновки та перевірити вжиті заходи щодо усунення недоліків. Зверніться до Пакета довірчих листів Webex Meetings для отримання інформації про атестацію на проникнення.
Безпека центру обробки даних Webex
Webex — це рішення «програмне забезпечення як послуга» (SaaS), що надається через Webex Cloud, високобезпечну платформу надання послуг з провідною в галузі продуктивністю, інтеграцією, гнучкістю, масштабованістю та доступністю. Webex Cloud — це комунікаційна інфраструктура, спеціально створена для веб-комунікацій у режимі реального часу.
Сесії webex meeting використовують комутаційне обладнання, розташоване в декількох центрах обробки даних по всьому світу. Центри обробки даних Cisco використовуються для більшості хмарних сервісів Webex. Для надання додаткових послуг у приватних хмарних екземплярах також використовуються сервіси Amazon Web Services (AWS) та центри обробки даних Microsoft Azure, що відповідають стандартам SOC2 та ISO. Ці центри обробки даних стратегічно розташовані поблизу основних точок доступу до Інтернету та використовують спеціалізоване високошвидкісне оптоволоконне з’єднання для маршрутизації трафіку по всьому світу.
Крім того, Cisco керує мережевими точками присутності (PoP), які забезпечують підключення до магістральних мереж, інтернет-піринг, глобальне резервне копіювання сайтів і технології кешування для підвищення продуктивності та доступності для кінцевих користувачів.
Фізична безпека
Фізична безпека в центрі обробки даних включає відеоспостереження за приміщеннями та будівлями, а також примусову двофакторну ідентифікацію для входу. У центрах обробки даних Cisco доступ контролюється за допомогою комбінації зчитувачів бейджів та біометричного контролю. Крім того, засоби контролю навколишнього середовища (наприклад, датчики температури та системи пожежогасіння) та інфраструктура забезпечення безперервності обслуговування (наприклад, резервне живлення) допомагають забезпечити безперебійну роботу систем.
Сервери центрів обробки даних сегментовані на «зони довіри» на основі чутливості інфраструктури. Наприклад, бази даних «замкнені», мережева інфраструктура має виділені кімнати, а всі стійки з обладнанням замкнені. До центрів обробки даних можуть входити лише співробітники служби безпеки Cisco та уповноважені відвідувачі у супроводі персоналу Cisco.
Виробнича мережа Cisco є мережею з високим рівнем довіри: лише дуже мало людей з високим рівнем довіри мають доступ до мережі.
Безпека інфраструктури та платформи
Безпека платформи охоплює безпеку мережі, систем та центру обробки даних Webex загалом. Усі системи проходять ретельну перевірку безпеки та перевірку прийнятності перед розгортанням у виробничому середовищі, а також регулярне постійне посилення безпеки, встановлення виправлень безпеки, сканування та оцінку вразливостей.
Сервери захищені відповідно до Керівних принципів технічного впровадження безпеки (STIG), опублікованих Національним інститутом стандартів і технологій (NIST). Брандмауери захищають периметр мережі. Списки контролю доступу (ACL) розділяють різні зони безпеки. Системи виявлення вторгнень (IDS) встановлені, а дії постійно реєструються та контролюються. Щоденно в Webex проводяться внутрішні та зовнішні сканування безпеки. Усі системи захищаються та латаються в рамках регулярного технічного обслуговування. Крім того, сканування та оцінка вразливостей проводяться постійно.
Безперервність обслуговування та відновлення після аварій є критично важливими компонентами планування безпеки. Проектування центрів обробки даних Cisco з глобальним резервним копіюванням сайтів та високою доступністю допомагає забезпечити географічне відновлення сервісів Webex. Немає єдиної точки відмови.
Конфіденційність Webex
Webex серйозно ставиться до захисту даних клієнтів. Ми збираємо, використовуємо та обробляємо інформацію про клієнтів лише відповідно до Заяви про конфіденційність Cisco та Розкриття інформації про пропозиції Webex Meetings.
Сервіс створено з урахуванням конфіденційності та розроблено таким чином, щоб його можна було використовувати відповідно до глобальних вимог щодо конфіденційності, включаючи Загальний регламент ЄС про захист даних (GDPR), Закон Каліфорнії про конфіденційність споживачів (CCPA), Закон Канади про захист персональної інформації та електронних документів (PIPEDA), Закон про захист персональної медичної інформації (PHIPA), Закон про портативність та підзвітність медичного страхування (HIPAA) та Закон про права сім'ї на освіту та конфіденційність (FERPA).
Адміністративні дані
Інформація про співробітників або представників клієнта чи іншої третьої сторони, яка збирається та використовується Cisco з метою адміністрування або управління постачанням продуктів або послуг Cisco, або для адміністрування або управління обліковим записом клієнта або третьої сторони для власних бізнес-цілей Cisco.
Адміністративні дані можуть включати ім'я, адресу, номер телефону, адресу електронної пошти та інформацію про договірні зобов'язання між Cisco та третьою стороною, зібрані під час початкової реєстрації чи пізніше у зв'язку з управлінням або адмініструванням продуктів чи послуг Cisco.
Адміністративні дані також можуть включати назву зустрічі, час та інші атрибути зустрічей, проведених у Webex співробітниками або представниками клієнта. Інші приклади адміністративних даних можуть включати назву зустрічі, час зустрічі та інші атрибути зустрічей, що проводяться на Webex.
Дані клієнта
Це включає всі дані (зокрема текстові, аудіо-, відео-, графічні файли та записи), які надаються Cisco клієнтом у зв'язку з використанням ним продуктів або послуг Cisco, або розроблені Cisco на конкретний запит клієнта відповідно до технічного завдання або договору.
Дані клієнта також включають файли журналів, конфігурації або прошивки, а також дампи основних даних.
Це дані, взяті з продукту або послуги та надані Cisco, щоб допомогти нам вирішити проблему, пов’язану із запитом на підтримку. Дані клієнтів не включають адміністративні дані, дані підтримки або дані телеметрії.
Дані підтримки
Інформація, яку Cisco збирає, коли клієнт надсилає запит на послуги підтримки або інші способи усунення несправностей, включаючи інформацію про апаратне або програмне забезпечення. Він містить деталі, пов’язані з інцидентом підтримки, такі як інформація для автентифікації, інформація про стан продукту, системи та дані реєстру про встановлення програмного забезпечення та конфігурації обладнання, а також файли відстеження помилок. Дані підтримки не включають журнали, файли конфігурації чи прошивки, а також дампи основних даних, взяті з продукту та надані нам для вирішення проблеми, пов’язаної із запитом на підтримку, всі вони є прикладами даних клієнта.
Дані телеметрії
Інформація, що генерується контрольно-вимірювальними приладами та системами реєстрації, що створюється в результаті використання та експлуатації продукту або послуги.
Усі дані, зібрані в хмарі Webex, захищені кількома рівнями надійних технологій та процесів безпеки. Нижче наведено приклади елементів керування, розміщених на різних рівнях операцій Webex для захисту даних клієнтів:
- Контроль фізичного доступу— Фізичний доступ контролюється за допомогою біометрії, бейджів та відеоспостереження. Доступ до центру обробки даних вимагає дозволів і здійснюється через систему електронного продажу квитків.
- Контроль доступу до мережі— Периметр мережі Webex захищено брандмауерами. Будь-який мережевий трафік, що входить або виходить з центру обробки даних Webex, постійно контролюється за допомогою системи виявлення вторгнень (IDS). Мережа Webex також сегментована на окремі зони безпеки. Трафік між зонами контролюється брандмауерами та списками контролю доступу (ACL).
- Моніторинг та управління інфраструктурою— Кожен компонент інфраструктури, включаючи мережеві пристрої, сервери додатків та бази даних, захищений відповідно до суворих вимог. Вони також регулярно перевіряються для виявлення та усунення будь-яких проблем безпеки.
- Криптографічні засоби контролю— Як зазначалося раніше, усі дані, що надходять до центру обробки даних Webex та з нього до зареєстрованих у хмарі програм Webex та пристроїв Webex, зашифровані, за винятком трафіку PSTN та незашифрованих даних. SIP/H323 відеопристрої під час зустрічі з підтримкою хмарних технологій. Крім того, критично важливі дані, що зберігаються в Webex, такі як паролі, шифруються.
Співробітники Cisco не мають доступу до даних клієнтів, окрім випадків, коли клієнт запитує доступ з міркувань підтримки. Доступ до систем у цьому випадку дозволяється керівнику лише відповідно до принципу «розподілу обов'язків». Він надається лише за принципом «знати необхідне» та лише з тим рівнем доступу, який необхідний для виконання роботи. Доступ співробітників до цих систем також регулярно перевіряється на відповідність вимогам. Працівники з таким доступом зобов'язані щорічно проходити навчання з питань інформаційної безпеки Міжнародної організації зі стандартизації (ISO) 27001.
Окрім цих спеціалізованих заходів контролю, кожен співробітник Cisco проходить перевірку біографічних даних, підписує Угоду про нерозголошення інформації (NDA) та проходить навчання з Кодексу ділової поведінки (COBC).
Закон про перенесення та підзвітність медичного страхування (HIPAA)
Cisco може надати інформацію щодо функціональності, технологій та безпеки Webex. Організація, що охоплена HIPAA, повинна проконсультуватися зі своїм юрисконсультом, щоб визначити, чи відповідає функціональність Webex її бізнес-процесам та чи готова до GDPR.
Галузеві стандарти та сертифікації
Окрім дотримання наших суворих внутрішніх стандартів, Webex також постійно проводить перевірки третіх сторін, щоб продемонструвати нашу відданість інформаційній безпеці. Вебекс – це:
- Сертифіковано за стандартами ISO 27001, 27017, 27018 та 27701
- Контрольні системи організації послуг (SOC) 2 типу II, що пройшли аудит
- Сертифіковано SOC 3
- Кодекс поведінки у хмарі
- CSTAR
- Атестація каталогу контролю відповідності хмарних обчислень (C5)
- Сертифіковано FedRAMP (відвідайте cisco.com/go/fedramp для отримання додаткової інформації, обсягу та доступності)
Сервіс Webex, сертифікований FedRAMP, доступний лише для клієнтів уряду США та освітніх установ.
Повний набір документів щодо безпеки, конфіденційності та відповідності, включаючи детальну інформацію про вищезазначені стандарти та сертифікати, див. на порталі довіри Cisco.