Características de seguridad clave de Skype Empresarial Server

Skype Empresarial Server incluye varias características de seguridad, incluida la autenticación de servidor a servidor, el control de acceso basado en roles y el almacenamiento centralizado de datos de configuración.

En este artículo se proporciona información general de alto nivel sobre la seguridad de Skype Empresarial Server.

Características de seguridad clave de Skype Empresarial Server

La seguridad es un tema muy amplio. La seguridad abarca todas las características de Skype Empresarial Server, así como bases de datos, servicios y hardware que conforman un ecosistema Skype Empresarial Server. En este artículo se describen algunas de las características de Skype Empresarial Server, en particular, que están diseñadas para la seguridad.

Herramientas de planeación y diseño

Skype Empresarial Server proporciona dos herramientas para facilitar la planificación y el diseño, y para reducir la posibilidad de configurar incorrectamente Skype Empresarial Server componentes.

• La Herramienta de planificación de topología automatiza gran parte del proceso de diseño de topología. Puede exportar los resultados de la herramienta de planificación al generador de topologías, que es la herramienta necesaria para instalar cada servidor que ejecuta Skype Empresarial Server.

• El Generador de topologías almacena toda la información de configuración en el almacén de administración central.

Para obtener más información sobre estas herramientas, vea Skype Empresarial Server Herramientas de administración.

Almacén de administración central

En Skype Empresarial Server, los datos de configuración sobre servidores y servicios forman parte del almacén de administración central. El almacén de administración central proporciona un almacenamiento sólido y esquematizado de los datos necesarios para definir, configurar, mantener, administrar, describir y operar una implementación de Skype Empresarial Server. También comprueba los datos para asegurarse de que la configuración es coherente. Todos los cambios realizados en estos datos de configuración se producen en el almacén de administración central, lo que elimina los problemas de "sin sincronización".

Las copias de solo lectura de los datos se replican en todos los servidores de la topología, incluyendo los servidores perimetrales y las aplicaciones de sucursal con funciones de supervivencia. Un servicio que se ejecuta de forma predeterminada en el contexto del servicio de red es el encargado de administrar la replicación, de modo que los permisos y derechos se reducen a los de un simple usuario del equipo.

Autenticación de servidor a servidor

En Skype Empresarial Server, la autenticación se puede configurar entre servidores mediante el protocolo Open Authorization (OAuth). Por ejemplo, puede configurar Skype Empresarial Server para autenticarse con un servidor que ejecuta Microsoft Exchange Server 2016. Con el protocolo OAuth, la Skype Empresarial Server y la Microsoft Exchange Server pueden confiar entre sí. Esto proporciona la posibilidad de integrar los productos de forma sencilla. Para obtener más información, consulte Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones asociadas en Skype Empresarial Server.

Administración basada en Windows PowerShell e interfaz de administración basada en web

Skype Empresarial Server proporciona una interfaz de administración potente, integrada en la interfaz de la línea de comandos Windows PowerShell. Incluye cmdlets para administración de seguridad, y las características de seguridad de Windows PowerShell se habilitan de manera predeterminada de manera que los usuarios no puedan ejecutar scripts fácilmente o sin saberlo. Esto significa que los valores predeterminados de software se configuran automáticamente de manera que ayuden a maximizar la seguridad y a reducir las vías de ataque. Para obtener más información sobre Windows PowerShell compatibilidad con la administración en Skype Empresarial Server, consulte Shell de administración de Skype Empresarial Server.

Control de acceso basado en roles (RBAC)

Skype Empresarial Server proporciona un control de acceso basado en roles (RBAC) para permitirle delegar tareas administrativas y mantener altos estándares de seguridad. Puede usar RBAC para seguir el principio de "privilegios mínimos", donde los usuarios solo reciben los derechos administrativos que requiere su trabajo. Skype Empresarial Server proporciona la capacidad de crear un nuevo rol y también la capacidad de modificar un rol existente.

Traducción de direcciones de red (NAT)

Skype Empresarial Server no admite el uso de la traducción de direcciones de red (NAT) en la interfaz interna del servidor perimetral, pero sí permite colocar la interfaz externa del servicio perimetral de acceso, el servicio perimetral de conferencia web y el servicio perimetral de A/V detrás de un enrutador o firewall que realiza la traducción de direcciones de red (NAT) para topologías de servidor perimetral consolidado único y escalado. Si hay varios servidores perimetrales tras un equilibrador de carga de hardware, no se podrá utilizar NAT. Si hay varios servidores perimetrales que utilizan NAT en sus interfaces externas, se necesitará aplicar equilibrio de carga de sistema de nombres de dominio (DNS). El equilibrio de carga de DNS permite, al mismo tiempo, reducir el número de direcciones IP públicas por servidor perimetral en grupo de servidores perimetrales. Para obtener más información, consulta Escenarios de servidor perimetral en Skype Empresarial Server.

Certificados simplificados para servidores perimetrales

El asistente para implementación puede rellenar automáticamente los nombres de sujetos (SN) y los nombres alternativos de sujetos (SAN) para reducir la probabilidad de incluir entradas innecesarias y potencialmente no seguras.

Ciclo de vida de desarrollo de seguridad (SDL) de Trustworthy Computing

Skype Empresarial Server está diseñado y desarrollado de acuerdo con el ciclo de vida de desarrollo de seguridad informática de Microsoft Trustworthy (SDL).

• Fidedigna por diseño El primer paso para crear un sistema de comunicaciones unificadas más seguro fue diseñar modelos de amenazas y probar cada característica tal y como se diseñó. Además, Microsoft realiza pruebas fuera del comportamiento diseñado para encontrar vulnerabilidades de seguridad resultantes de un comportamiento inesperado del producto. Se integraron múltiples mejoras relacionadas con la seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo de compilación detectan excesos de almacenaje y otras amenazas de seguridad antes de que el código se incorpore al producto final. Evidentemente no se puede diseñar una protección contra todas las amenazas de seguridad no conocidas. Ningún sistema puede garantizar una seguridad completa. Sin embargo, como el desarrollo de productos adoptó principios de diseño seguro desde el principio, Skype Empresarial Server incorpora las tecnologías de seguridad estándar del sector como parte fundamental de su arquitectura.

• De confianza de forma predeterminada De forma predeterminada, las comunicaciones de red en Skype Empresarial Server están cifradas. Dado que todos los servidores usan certificados y autenticación Kerberos, TLS, protocolo de transporte de Real-Time seguro (SRTP) y otras técnicas de cifrado estándar del sector, incluido el cifrado de cifrado avanzado (AES) de 128 bits, prácticamente todos los datos de Skype Empresarial Server están protegidos en la red. Además, el control de acceso basado en roles permite implementar servidores que ejecutan Skype Empresarial Server para que cada rol de servidor ejecute solo los servicios y tenga solo los permisos relacionados con esos servicios, que son adecuados para el rol de servidor.

• Fidedigna por implementación Toda la documentación Skype Empresarial Server incluye procedimientos recomendados y recomendaciones para ayudarle a determinar y configurar los niveles de seguridad óptimos para la implementación y evaluar los riesgos de seguridad de la activación de opciones no predeterminadas.