Ключевые функции безопасности в Skype для бизнеса Server

  • Статья

Skype для бизнеса Server включает несколько функций безопасности, включая проверку подлинности между серверами, управление доступом на основе ролей и централизованное хранение данных конфигурации.

В этой статье представлен общий обзор Skype для бизнеса Server безопасности.

Основные функции безопасности в Skype для бизнеса Server

Безопасность — чрезвычайно обширная тема. Безопасность распространяется на все функции Skype для бизнеса Server, а также базы данных, службы и оборудование, составляющие экосистему Skype для бизнеса Server. В этой статье описываются некоторые функции в Skype для бизнеса Server в частности, предназначенные для обеспечения безопасности.

Средства планирования и проектирования

Skype для бизнеса Server предоставляет два инструмента для упрощения планирования и проектирования и снижения вероятности неправильной настройки Skype для бизнеса Server компонентов.

  • Средство планирования топологии автоматизирует большую часть процесса проектирования топологии. Результаты можно экспортировать из средства планирования в построитель топологий, который является средством, необходимым для установки каждого сервера, на котором выполняется Skype для бизнеса Server.

  • Построитель топологий хранит все сведения о конфигурации в центральном хранилище управления.

Дополнительные сведения об этих средствах см. в разделе Средства управления Skype для бизнеса Server.

Центральное хранилище управления

В Skype для бизнеса Server данные конфигурации о серверах и службах являются частью центрального хранилища управления. Центральное хранилище управления предоставляет надежное схематизированное хранилище данных, необходимое для определения, настройки, обслуживания, администрирования, описания и эксплуатации развертывания Skype для бизнеса Server. Кроме того, оно обеспечивает проверку этих данных на предмет внутренней согласованности. Все изменения этих данных конфигурации происходят в центральном хранилище управления, устраняя проблемы с синхронизацией.

Копии данных, доступные только для чтения, реплицируются на всех серверах топологии, включая пограничные серверы и устройства для обеспечения связи в филиалах. Репликацией управляет служба, которая по умолчанию работает в контексте сетевой службы с ограниченными правами и разрешениями, как у обычного пользователя компьютера.

Проверка подлинности "сервер-сервер"

В Skype для бизнеса Server проверку подлинности можно настроить между серверами с помощью протокола Open Authorization (OAuth). Например, можно настроить Skype для бизнеса Server для проверки подлинности на сервере, работающем Microsoft Exchange Server 2016. Используя протокол OAuth, Skype для бизнеса Server и Microsoft Exchange Server могут доверять друг другу. Это позволяет легко интегрировать продукты. Дополнительные сведения см. в статье Управление проверкой подлинности между серверами (OAuth) и партнерскими приложениями в Skype для бизнеса Server.

Управление с помощью Windows PowerShell и веб-интерфейс управления

Skype для бизнеса Server предоставляет мощный интерфейс управления, основанный на интерфейсе командной строки Windows PowerShell. Он включает в себя командлеты для управления безопасностью, причем функции безопасности Windows PowerShell по умолчанию включены, чтобы пользователи не могли случайно или без усилий запускать сценарии. То есть настройки программ по умолчанию помогают обеспечить максимальную безопасность и уменьшают число механизмов атаки. Дополнительные сведения о поддержке управления Windows PowerShell в Skype для бизнеса Server см. в статье Skype для бизнеса Server Management Shell.

Управление доступом на основе ролей (RBAC)

Skype для бизнеса Server обеспечивает управление доступом на основе ролей (RBAC), позволяющее делегировать административные задачи при сохранении высоких стандартов безопасности. С помощью RBAC можно реализовать принцип наименьших привилегий, при котором пользователям даются только те административные права, которые необходимы им для выполнения своих задач. Skype для бизнеса Server позволяет создавать новую роль, а также изменять существующую роль.

Преобразование сетевых адресов (NAT)

Skype для бизнеса Server не поддерживает использование преобразования сетевых адресов (NAT) во внутреннем интерфейсе пограничного сервера, но поддерживает размещение внешнего интерфейса пограничной службы доступа, пограничной службы веб-конференций и пограничной службы A/V за маршрутизатором или брандмауэром, который выполняет преобразование сетевых адресов (NAT) для отдельных и масштабируемых объединенных пограничных серверов. Несколько пограничных серверов, находящиеся за устройством балансировки нагрузки, не могут использовать NAT. Если NAT используется на внешних интерфейсах нескольких пограничных серверов, требуется балансировка нагрузки на DNS. В свою очередь, балансировка нагрузки на DNS позволяет уменьшить число общедоступных IP-адресов, приходящихся на каждый пограничный сервер из пула пограничных серверов. Дополнительные сведения см. в статье Сценарии пограничных серверов в Skype для бизнеса Server.

Примечание.

Если вы входите в федерацию с предприятиями, на которых развернут сервер Microsoft Office Communications Server 2007, и хотите использовать аудио- и видеосвязь между вашим и федеративным предприятием, требования к портам будут такими же, как и для развернутых старых версий пограничных серверов. Например, диапазоны портов, необходимые для этих старых версий, должны быть открыты для обоих предприятий до тех пор, пока федеративный партнер не обновит свои пограничные серверы до Skype для бизнеса Server. После этого требования к портам можно будет пересмотреть и сократить в соответствии с новой конфигурацией.

Упрощенные сертификаты для пограничных серверов

Мастер развертывания может автоматически подставлять имена субъектов (SN) и альтернативные имена субъектов (SAN), уменьшая риск внесения ненужных и потенциально опасных записей.

Жизненный цикл разработки безопасного ПО (SDL) защищенных информационных систем

Skype для бизнеса Server разработана и разработана в соответствии с жизненным циклом разработки безопасности надежных вычислений Майкрософт (SDL).

  • Надежность по дизайну Первым шагом в создании более безопасной унифицированной системы связи было проектирование моделей угроз и тестирование каждой функции по мере ее разработки. Кроме того, Microsoft выполняет тестирование в нештатных ситуациях для поиска уязвимостей, обусловленных необычным поведением продукта. Различные улучшения, связанные с обеспечением безопасности, были включены в технологический процесс разработки исходного кода. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет внесен в окончательную версию продукта. Конечно, невозможно спроектировать защиту от всех неизвестных угроз безопасности. Ни одна система не может гарантировать полную безопасность. Тем не менее, поскольку разработка продукта с самого начала охватывала принципы безопасного проектирования, Skype для бизнеса Server включает отраслевые стандартные технологии безопасности в качестве основной части своей архитектуры.

  • Надежность по умолчанию По умолчанию сетевое взаимодействие в Skype для бизнеса Server шифруется. Так как все серверы используют сертификаты и проверку подлинности Kerberos, TLS, протокол Real-Time SRTP и другие стандартные отраслевые методы шифрования, включая 128-разрядное шифрование AES, практически все Skype для бизнеса Server данные защищены в сети. Кроме того, управление доступом на основе ролей позволяет развертывать серверы под управлением Skype для бизнеса Server, чтобы каждая роль сервера запускала только службы и только разрешения, связанные с этими службами, которые подходят для роли сервера.

  • Надежность по развертыванию Вся Skype для бизнеса Server документация содержит рекомендации и рекомендации, которые помогут определить и настроить оптимальные уровни безопасности для развертывания и оценить риски безопасности при активации параметров, отличных от стандартных.