Ключевые функции безопасности в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-12-20

Skype для бизнеса Server 2015 включает в себя целый ряд возможностей для обеспечения безопасности, в том числе проверку подлинности "сервер-сервер", управление доступом на основе ролей и централизованное хранение данных конфигурации.

В этой статье содержится краткий обзор функций безопасности в Skype для бизнеса Server 2015.

Безопасность — чрезвычайно обширная тема. Она затрагивает каждый компонент Skype для бизнеса Server 2015, а также базы данных, службы и оборудование, составляющие в совокупности экосистему Skype для бизнеса Server. В этой статье кратко описываются некоторые функции Skype для бизнеса Server 2015, предназначенные для обеспечения безопасности.

В Skype для бизнеса Server 2015 имеется два средства, которые упрощают планирование и проектирование развертывания, а также снижают риск неправильной настройки компонентов Skype для бизнеса Server.

  • Средство планирования топологии (Topology Planning Tool) автоматизирует большую часть процесса проектирования топологии. Результаты проектирования можно экспортировать из средства планирования в построитель топологий — средство, которое необходимо для установки каждого сервера Skype для бизнеса Server 2015.

  • Построитель топологий хранит все сведения о конфигурации в центральном хранилище управления.

Подробнее об этих средствах см. в разделах Инструменты управления Skype для бизнеса Server 2015 и Планирование развертывания Skype для бизнеса Server 2015.

В Skype для бизнеса Server 2015 данные о конфигурации серверов и служб хранятся в центральном хранилище управления. Это хранилище обеспечивает надежное структурированное хранение данных, необходимых для определения, создания, обслуживания, администрирования, описания и эксплуатации инфраструктуры Skype для бизнеса Server. Кроме того, оно обеспечивает проверку этих данных на предмет внутренней согласованности. Все изменения данных конфигурации вносятся через центральное хранилище управления, что избавляет от проблем рассинхронизации.

Копии данных, доступные только для чтения, реплицируются на всех серверах топологии, включая пограничные серверы и устройства для обеспечения связи в филиалах. Репликацией управляет служба, которая по умолчанию работает в контексте сетевой службы с ограниченными правами и разрешениями, как у обычного пользователя компьютера.

В Skype для бизнеса Server 2015 можно настроить проверку подлинности между серверами по протоколу OAuth. Например, можно настроить Skype для бизнеса Server 2015 для проверки подлинности с сервером Microsoft Exchange Server 2016. С помощью протокола OAuth Skype для бизнеса Server и Microsoft Exchange Server могут установить друг с другом отношения доверия, что позволяет реализовать тесную интеграцию между этими продуктами. Подробности: Управление проверкой подлинности между серверами (Oauth) и партнерскими приложениями Skype для бизнеса Server 2015

В Skype для бизнеса Server 2015 имеется мощный интерфейс управления, основанный на интерфейсе командной строки Windows PowerShell. Он включает в себя командлеты для управления безопасностью, причем функции безопасности Windows PowerShell по умолчанию включены, чтобы пользователи не могли случайно или без усилий запускать сценарии. То есть настройки программ по умолчанию помогают обеспечить максимальную безопасность и уменьшают число механизмов атаки. Дополнительные сведения о поддержке управления с помощью Windows PowerShell в Skype для бизнеса Server 2015 см. в документе Командная консоль Skype для бизнеса Server 2015.

В Skype для бизнеса Server 2015 предусмотрено управление доступом на основе ролей (RBAC), которое позволяет делегировать административные задачи с соблюдением высоких стандартов безопасности. С помощью RBAC можно реализовать принцип наименьших привилегий, при котором пользователям даются только те административные права, которые необходимы им для выполнения своих задач. В Skype для бизнеса Server 2015 появилась возможность создания новых ролей и изменения существующих.

Skype для бизнеса Server 2015 не поддерживает преобразование сетевых адресов (NAT) на внутреннем интерфейсе пограничного сервера, но поддерживает размещение внешнего интерфейса службы пограничного доступа, службы пограничного сервера веб-конференций и службы пограничного сервера аудио- и видеоконференций за маршрутизатором или межсетевым экраном, выполняющим преобразование сетевых адресов для топологий с отдельным пограничным сервером и с масштабируемой объединенной инфраструктурой пограничных серверов. Несколько пограничных серверов, находящиеся за устройством балансировки нагрузки, не могут использовать NAT. Если NAT используется на внешних интерфейсах нескольких пограничных серверов, требуется балансировка нагрузки на DNS. В свою очередь, балансировка нагрузки на DNS позволяет уменьшить число общедоступных IP-адресов, приходящихся на каждый пограничный сервер из пула пограничных серверов. Подробности: Варианты пограничных серверов в Skype для бизнеса Server 2015.

noteПримечание.
Если вы входите в федерацию с предприятиями, на которых развернут сервер Microsoft Office Communications Server 2007, и хотите использовать аудио- и видеосвязь между вашим и федеративным предприятием, требования к портам будут такими же, как и для развернутых старых версий пограничных серверов. Например, для обоих предприятий необходимо открыть порты в диапазонах, требуемых старыми версиями, пока партнер по федерации не обновит свои пограничные серверы до Skype для бизнеса Server 2015. После этого требования к портам можно будет пересмотреть и сократить в соответствии с новой конфигурацией.

Мастер развертывания может автоматически подставлять имена субъектов (SN) и альтернативные имена субъектов (SAN), уменьшая риск внесения ненужных и потенциально опасных записей.

Skype для бизнеса Server 2015разработан и разработанных в соответствии с Microsoft надежности вычислений жизненный цикл разработки безопасности (SDL).

  • Надежность, заложенная в проект    Первым этапом создания более безопасной системы объединенных коммуникаций была разработка моделей угроз и тестирование каждого компонента по мере проектирования. Кроме того, Microsoft выполняет тестирование в нештатных ситуациях для поиска уязвимостей, обусловленных необычным поведением продукта. В процесс и практику программирования был внесен ряд усовершенствований, связанных с безопасностью. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет внесен в окончательную версию продукта. Разумеется, невозможно на стадии проектирования предотвратить все неизвестные угрозы безопасности. Никакая система не может гарантировать полной защиты. Но поскольку в процесс разработки продуктов изначально заложены принципы безопасного проектирования, принятые в отрасли стандарты безопасности являются основополагающим компонентом архитектуры Skype для бизнеса Server 2015.

  • Надежность по умолчанию    По умолчанию в Skype для бизнеса Server 2015 обмен данными через сеть шифруется. Поскольку все серверы используют сертификаты и проверку подлинности Kerberos, TLS, SRTP и другие отраслевые стандарты шифрования, в том числе шифрование по алгоритму AES с размером ключа 128 бит, практически все данные, передаваемые сервером Skype для бизнеса Server через сеть, защищены. Кроме того, управление доступом на основе ролей позволяет развертывать серверы Skype для бизнеса Server 2015 таким образом, чтобы на каждом из них работали только те службы и действовали только те разрешения, которые соответствуют роли данного сервера.

  • Надежное развертывание    В документации Skype для бизнеса Server 2015 содержатся рекомендации по определению и настройке оптимальных уровней безопасности для развертываемой инфраструктуры, а также оценке угроз безопасности, связанных с включением отключенных по умолчанию возможностей.

 
Показ: