统一通信(UC)的采用也在增加,因此对安全的担忧也在增加。据Nemertes UC研究的参与者称,2009年有60%的组织正在实施UC架构,高于2008年的47%。
VoIP仍然是UC体系结构中的主要应用。到目前为止,大多数安全措施都是通过建立虚拟孤岛来实现的:将VoIP流量与企业局域网的其他流量隔离开来。但UC的业务范围正在迅速扩大,包括统一消息(集成了电子邮件、语音邮件和传真)、到场、即时消息、会议和社交计算应用(内部博客和维基应用、Yammer、Facebook、YouTube、Twitter等)。
与此同时,UC的规模也在迅速扩大,UC将业务合作伙伴、客户、移动工作者和虚拟工作者连接起来;都在公司安全边界之外,使得VoIP隔离过时。
最重要的是,UC安全还必须扩大范围和规模。在本专栏中,我将重点讨论规模问题。范围是下周的主题。
保护移动和虚拟工作者的VoIP通信是最大的挑战之一。这包括VoIP通信的保密性和完整性,但也包括可用性的保护——我们可以假设这是通信的桌上赌注。任何人插入到交换机端口都可以收听和记录VoIP会话。
当然,窃听声音并不是什么新鲜事(想想窃听电话线路)。尽管如此,电信和网络经理告诉我们,高管们对VoIP窥探比模拟语音窥探更担心,这是有充分理由的。人们最担心的是VOIP在公共互联网上是否容易被窃听:VOIP的脆弱性比公共交换电话网络(PSTN)上的语音脆弱性要大得多。
加密是保证内部和外部VoIP流量机密性的唯一途径。但加密的挑战是,嗯,所有东西都是加密的!以存档为目的的录音、扫描潜在的错误行为和监控都是不可能通过加密的VoIP实现的。另一方面,多次转换会对语音质量产生负面影响;这是企业高管的另一个主要担忧。
我们需要的是防火墙外的加密和防火墙内的明文VoIP。我待会再讲这个。
身份验证是确认电话上确实是Johna(或窃取Johna身份的人)。我们至少需要三个中的两个:你拥有的东西(有效的网络电话或电脑),你知道的东西(密码或PIN)和你是(生物特征)。从历史上看,语音和VoIP认证大多是隐式的。如果Johna在Johna的办公桌上使用Johna的VoIP电话,很可能是....Johna。但是,如果Johna是远程工作者、虚拟工作者或旅行工作者呢?这个位置现在已经没有意义了,而且由于Johna不在办公室,她可能使用的是VoIP软电话,大约占VoIP电话部署的10%。
好消息是,vpn可以解决这两个问题。远程PC/笔记本电脑上的VPN代理将对用户进行身份验证。这可能包括作为连接建立的一部分对计算机进行身份验证,或要求用户携带安全令牌,如RSA SecurID。然后,VPN建立加密隧道(IPSec或SSL)来保护通信的机密性。在企业VPN网关进行加密,缓解了上述问题。
当然,这仍然给我们留下了挑战,让企业高管相信,在企业网络上使用未经加密的VoIP和UC流量的好处大于风险。改天再谈。