Вместе с тем многие организации сегодня внедряют у себя критически важные для ведения бизнеса механизмы организации голосовой и видеосвязи в сетях IP, не отвечающие требованиям стандартных политик корпоративной безопасности.
В силу целого ряда причин к передаче голоса в сетях IP клиенты относятся не так, как к передаче данных других приложений. Десятилетия использования технологий уплотнения с временным разделением в коммутируемых телефонных сетях общего пользования приучили нас к тому, что голосовой трафик не подвергается серьезному риску с точки зрения безопасности. Эти «изолированные пространства» относились к числу наиболее надежных сетей в мире и только в США ежедневно обслуживали миллионы бизнес-пользователей.
Но по мере того как корпоративные клиенты осуществляют переход с традиционной телефонии в коммутируемых сетях общего пользования к более доступной и функциональной IP-телефонии и унифицированным коммуникациям, вопросам безопасности придается все больше значения. Деловые переговоры, не выходившие когда-то за рамки частных сетей, сейчас могут проходить через сети множества провайдеров, а также общие интернет-магистрали, где или никаких мер безопасности при передаче голосового и видеотрафика не принимается вовсе, или же соответствующие механизмы представлены в виде разрозненных и несогласованных средств.
Далее мы рассмотрим задачи, связанные с обеспечением безопасности трафика унифицированных коммуникаций, и критерии выбора корпоративных решений, которые позволяли бы организовать безопасную связь между штаб-квартирами, филиалами и удаленными или мобильными работниками.
Разрешение конфликтов на шлюзе
Задачи. Перенос голосовой и видеосвязи в сéти IP приводит к возникновению перегрузок на корпоративном шлюзе. Безопасность данных здесь обеспечивают межсетевые экраны, технология NAT и прочие шлюзовые механизмы. В конечном итоге эти решения блокируют передачу голоса по сетевым каналам на границе между доверенными сетями и сетями, которые к числу доверенных не относятся.
Следует учесть, что существующие средства обеспечения безопасности данных были развернуты давно. А модификация имеющегося оборудования в целях защиты голосового и видеотрафика приведет к изменениям с труднопрогнозируемыми последствиями в организации связи и бизнес-процессах, которые ранее были полностью работоспособны и отлажены. Внесение корректив в действующие политики обеспечения безопасности данных без тщательного тестирования, гарантирующего отсутствие уязвимостей в критически важных сетевых ресурсах, тоже чревато появлением брешей в системе защиты. И наконец, стоит учитывать, что предприятия обычно стремятся сохранить инвестиции в инфраструктуру, обеспечивающую безопасность данных, и не желают «резать по живому», модернизируя свою сеть.
Решение. Обеспечение защиты связи VoIP и унифицированных коммуникаций должно сочетаться и быть совместимым с уже существующим оборудованием сетей передачи данных и системой поддержания их безопасности. Это предполагает создание для голосового и видеотрафика межсетевого экрана, который был бы настроен на поддержку коммуникационных приложений и совместим с имеющимися средствами обеспечения безопасности. Шлюз безопасности VoIP/UC должен также обладать совместимостью с офисными АТС, сетями передачи видеоконтента и сетями внешних операторов. Для этого он должен поддерживать широкий набор протоколов и сетевых интерфейсов.
Обеспечение безопасности голосового трафика и голосовых каналов
Задачи. Угрозы, специфичные для коммуникационного трафика, например прослушивание, не устраняются средствами обеспечения безопасности данных, которые блокируют вирусы, вредоносные программы и действия хакеров. Но, подобно хакерам и киберпреступниками, рассылающим боты и занимающимся фишингом для сбора ценных данных, инициаторы прослушивания нацелены на перехват переговоров и корпоративного видео для получения доступа к корпоративным секретам, частным идентификационным сведениям сотрудников, номерам кредитных карт и карт социального страхования, а также к длинному перечню другой конфиденциальной информации.
Помимо похищения данных, уязвимости в системе безопасности коммуникационной инфраструктуры в сетях IP могут привести к атакам, нацеленным на отказ в обслуживании (denial-of-service, DoS), и возникновению других угроз, мешающих непрерывности ведения бизнеса и снижающих производительность контактных центров, а также к блокировке клиентских транзакций, что в совокупности повлечет за собой снижение доходов.
Тенденции перехода на мобильные технологии, в том числе стремление сотрудников использовать на работе свои личные устройства (bring-your-own-device, BYOD), ставят перед ИТ-специалистами, отвечающими за защиту активов бизнеса и четкое функционирование инфраструктуры, дополнительные задачи. Мобильные пользователи и интеллектуальные устройства должны проходить процедуру аутентификации; также нужно проверять, не совершают ли они подозрительные транзакции.
Каналы связи, предназначенные для передачи голоса, тоже становятся объектом интереса злоумышленников. Все больше хакеров и интернет-мошенников сканируют незащищенные голосовые каналы. Без должной защиты экономия, достигнутая за счет перехода на технологию VoIP, может быть сведена на нет, поскольку голосовые вызовы направляются через шлюз VoIP или транкинговый сервис SIP, которые не обеспечивают необходимой безопасности.
Решение. Любое решение VoIP бизнес-класса должно включать защиту от прослушивания и средства безопасности VoIP, ориентированные на противодействие перечисленным угрозам. Решения VoIP или унифицированных коммуникаций, которые предназначены для предприятий, правительственных агентств и подрядчиков, предъявляющих более жесткие требования к безопасности, обязаны поддерживать шифрование коммуникационного трафика. Конечно, как правило, это относится к внешним коммуникациям, но некоторым организациям требуется и шифрование внутреннего трафика или входящего и исходящего трафика определенных подразделений. Любые попытки неавторизованного доступа должны автоматически выявляться, блокироваться и документироваться, с тем чтобы иметь достаточно доказательств в ходе последующих судебных разбирательств.
Мониторинг и диагностика неисправностей
Задачи. Противодействие мошенникам лишь одна из причин, требующих повышения качества мониторинга инфраструктуры VoIP. Без средств контроля оценить степень безопасности невозможно. Безопасные коммуникации в сетях IP должны предусматривать возможность мониторинга и управления звонками и коммуникационным трафиком. Кроме того, предприятиям нужны доступные управляемые сервисы и соглашения о качестве обслуживания, которые гарантировали бы надежность и устойчивость связи. От поставщика услуг в данном случае требуется высокий уровень мониторинга голосового и видеотрафика, осуществляемого при помощи развитых средств диагностики неисправностей.
Решение. Инструменты для диагностики неисправностей должны обеспечивать мониторинг сквозного прохождения голосового и видеотрафика, контроль за производительностью сети, качеством обслуживания, управлением трафиком и другими важными для передачи голоса параметрами, которые имеют большое значение для поддержания требуемого уровня готовности и безопасности коммуникаций. При этом безопасность нельзя повышать за счет производительности, поскольку, в отличие от передачи данных, голосовая связь очень чувствительна к потерям пакетов, задержкам, сбоям и снижению пропускной способности сети.
Что мы имеем?
Не каждое решение VoIP и не каждый поставщик услуг готовы обеспечить уровень безопасности, который позволил бы справиться с вызовами, затронутыми в данной статье. Однако лучшие в своем классе пограничные контроллеры сессий для корпоративных сетей (enterprise session border controllers) оснащены средствами обеспечения безопасности передачи голосовой информации. В отличие от выпускавшихся ранее контроллеров ESBC, современные пограничные устройства предлагаются по ценам, которые могут позволить себе и представители малого бизнеса (имеющие в штате пять и более человек). Вместе с тем они обладают высокой масштабируемостью, достаточной для удовлетворения потребностей крупных компаний, в которых работают 10 тыс. и более сотрудников.
Пограничные устройства такого рода пользуются популярностью у поставщиков услуг, оценивших их потенциал в качестве платформы, позволяющей сократить операционные затраты для инфраструктурных сервисов VoIP. Наличие интегрированных средств безопасности становится ключевой характеристикой для поставщиков услуг и основным критерием выбора для корпоративных клиентов, решивших развернуть оборудование VoIP на своей территории.
Помимо обеспечения безопасности, гибкие интерфейсы лучших устройств ESBC, поддерживающие технологии распознавания протоколов, хорошо взаимодействуют с современными сетями, телекоммуникационным оборудованием и решениями объединенных коммуникаций. Они выполняют роль посредников между протоколами, обеспечивая интероперабельность устройств, предназначенных для передачи голоса и видео. Высокое качество транслируемых голоса и видео поддерживается за счет использования современных механизмов управления трафиком, активного тестирования линий VoIP, пассивного мониторинга качества звонков и внедрения функций поддержания безотказного функционирования систем.
В стремлении к доступной безопасности предприятиям не следует жертвовать качеством, производительностью или гибкостью соединений. Средства построения коммуникаций в сетях IP могут предложить не только более доступные способы совершения местных и удаленных звонков, но и инновационные функции, дающие конкурентные преимущества и улучшение обслуживания клиентов при отсутствии уязвимостей, нарушений конфиденциальности и трудностей, обусловленных необходимостью соблюдения нормативных требований. Сделайте несколько звонков и убедитесь в том, что вас все устраивает.