차례:
비디오: Yeastar S20 VoIP PBX - Complete Step by Step Tutorial (십월 2024)
비즈니스에 연결된 모든 클라우드 기반 서비스에는 보안이 반드시 필요하며 공격 경로는 매일 진화합니다. 기업 통신의 허브 역할을하는 VoIP (Voice-over-IP) 앱과 같은 인터넷 연결 응용 프로그램의 경우 특히 피해야 할 관행과 문제 영역을 파악하는 것이 중요합니다.
안전한 사용자 인증 및 네트워크 구성을 보장하든 모든 VoIP 통신 및 데이터 저장소에서 종단 간 암호화를 활성화하든 조직은 IT 관리를 감독하고 비즈니스 VoIP 제공 업체와 긴밀히 협력하여 보안 요구 사항을 충족해야합니다. 만나고 집행했다.
RingCentral의 CSO (Chief Security Officer) 인 Michael Machado는 RingCentral의 모든 클라우드 및 VoIP 서비스에 대한 보안을 감독합니다. Machado는 지난 15 년간 IT 및 클라우드 보안 분야에서 WebEx의 보안 아키텍트 및 운영 관리자로 근무한 후 화상 회의 서비스를 인수 한 후 Cisco에서 근무했습니다.
회사의 VoIP 통신에 대한 보안 고려 사항은 VoIP 공급자를 선택하기 전에 연구 및 구매 단계에서 시작하여 구현 및 관리를 통해 지속됩니다. Machado는 보안 측면에서 전체 프로세스를 살펴보면서 모든 규모의 비즈니스에 필요한 많은 작업과 그렇지 않은 작업에 대해 설명하지 않았습니다.
VoIP 제공 업체 선택
금지 사항: 공유 보안 모델 무시
소규모 기업이든 대기업이든 VoIP와 UCaaS (Unified Communications-as-a-Service)에 관계없이 가장 먼저 이해해야하는 것은 모든 클라우드 서비스에 일반적으로 공유 보안이 필요하다는 것입니다 모델. Machado는 고객으로서 귀하의 비즈니스는 항상 귀하가 채택하고있는 모든 클라우드 서비스의 안전한 구현에 대해 어느 정도의 책임을 공유한다고 말했습니다.
Machado는 "고객이 이해하는 것이 중요합니다. 특히 회사 규모가 작고 리소스가 적을 때 더욱 중요합니다."라고 말했습니다. "사람들은 VoIP가 구리선에 연결된 기계 장치라고 생각합니다. 실제 전화, 소프트웨어가 실행중인 컴퓨터, 모바일 앱 또는 소프트 폰 응용 프로그램이든 상관없이 VoIP 전화는 그렇지 않습니다. PSTN에 연결된 기계식 전화는 일반 전화와는 다릅니다. 보안과 고객과 공급 업체 사이에 폐쇄 루프가 있는지 확인해야 할 책임이 있습니다."
DO: 공급 업체 실사
공유 책임을 이해하고 클라우드 VoIP 서비스를 채택하려는 경우 공급 업체를 선택할 때 실사를 수행하는 것이 좋습니다. Machado는 직원의 규모와 전문 지식에 따라 기업과 중소 기업 (SMB)이 어떻게 다른 방식으로이 문제를 해결할 수 있는지 설명했습니다.
Machado는 "실사에 시간을 투자 할 여유가있는 대기업이라면 모든 공급 업체에 문의하고 감사 보고서를 검토하며 보안에 대해 논의하기 위해 몇 회의를 가질 수있는 질문 목록을 제시 할 수 있습니다"라고 말했습니다.. "소규모 기업인 경우 SOC 2 감사 보고서를 분석 할 전문 지식이 없거나 과중한 토론에 투자 할 시간이 없을 수 있습니다.
"대신 Gartner의 Magic Quadrant 보고서와 같은 것을보고 시간과 전문 지식이 없어도 SOC 1 또는 SOC 2 보고서를 사용할 수 있는지 확인할 수 있습니다." 설명했다. "감사 보고서는 그렇지 않은 회사에 비해 보안에 많은 투자를하는 회사를 잘 보여줍니다. SOC 2 외에도 SOC 3 보고서를 찾을 수 있습니다. 동일한 표준의 경량의 인증 버전입니다. 보안에있어 올바른 방향으로 나아 가기 위해 소규모 사업체로서 찾을 수있는 것들입니다."
DO: 계약의 보안 조건 협상
이제 VoIP 공급 업체를 선택하고 구매 결정을 내릴 가능성을 고려하고 있습니다. Machado는 가능할 때마다 클라우드 공급 업체와 계약을 체결 할 때 명시적인 보안 계약 및 조건을 서면으로 작성해야한다고 권장했습니다.
"작은 회사, 대기업, 상관 없습니다. 회사가 작을수록 특정 조건을 협상하는 데 필요한 힘이 적지 만 '묻지 말고 얻지 마십시오'시나리오입니다."라고 Machado는 말했습니다. "공급 업체의 보안 의무와 관련하여 공급 업체 계약에서 얻을 수있는 사항을 참조하십시오."
VoIP 보안 조치 배포
DO: 암호화 된 VoIP 서비스 사용
Machado는 배포와 관련하여 최신 VoIP 서비스가 엔드 투 엔드 암호화를 제공하지 않을 이유가 없다고 말했습니다. Machado는 조직이 TLS (Transport Layer Security) 또는 SRTP (Secure Real-Time Transport Protocol) 암호화를 지원하고 핵심 보안 조치를 상향 판매하지 않는 것이 이상적인 서비스를 찾도록 권장했습니다.
Machado는 "가장 저렴한 서비스를 선택하지 말고 더 안전한 VoIP를 위해 프리미엄을 지불하는 것이 가치가있다. 클라우드 서비스의 보안을 위해 프리미엄을 지불하지 않아도되는 것이 더 좋다"고 Machado는 말했다. "고객은 암호화 된 VoIP를 활성화하고 중단 할 수 있어야합니다. 또한 공급자가 암호화 된 신호뿐만 아니라 유휴 상태의 암호화도 사용하는 것이 중요합니다. 사람들은 인터넷을 통하지 않고 개인 대화를 원합니다. 공급 업체가 해당 수준의 암호화를 지원하고 더 많은 비용이 들지 않도록하십시오."
하지 마십시오: 당신의 LAN을 혼합
배포의 네트워크 쪽에서 대부분의 조직에는 핸드셋과 클라우드 기반 인터페이스가 혼합되어 있습니다. 많은 직원이 VoIP 모바일 앱이나 소프트 폰을 사용하고있을 수도 있지만 VoIP 네트워크에 연결된 전화기와 회의용 전화가 혼합되어있는 경우가 많습니다. Machado는 이러한 모든 폼 팩터에 대해 동일한 네트워크 디자인 내에서 폼 팩터와 연결된 장치를 혼합하지 않는 것이 중요하다고 말했습니다.
Machado는 "별도의 음성 LAN을 설정하려고합니다. 하드폰 전화가 워크 스테이션 및 프린터와 동일한 네트워크에서 혼합되는 것을 원하지 않습니다. 네트워크 설계가 좋지 않습니다"라고 Machado는 말했습니다. "만약 있다면 보안 문제가 줄어드는 것입니다. 작업 공간이 서로 대화 할 이유가 없습니다. 랩탑은 사용자와 대화 할 필요가 없습니다. 응용 프로그램과 대화하는 서버 팜과는 다릅니다. 데이터베이스."
대신 Machado는 다음을 권장합니다.
DO: 개인 VLAN 설정
Machado에서 설명한 것처럼 사설 VLAN (가상 LAN)을 통해 IT 관리자는 네트워크를보다 잘 분류하고 제어 할 수 있습니다. 개인 VLAN은 장치를 라우터, 서버 또는 네트워크에 연결하기위한 단일 액세스 및 업 링크 지점 역할을합니다.
"종점 보안 아키텍처 관점에서 볼 때 개인 VLAN은이 워크 스테이션이 다른 워크 스테이션과 통신 할 수 없습니다"라는 스위치에서이 기능을 켤 수있는 기능을 제공하기 때문에 네트워크 설계에 좋습니다. Machado는 VoIP 전화기 나 음성 지원 장치가 다른 네트워크와 동일한 네트워크에 있다면 작동하지 않습니다. "특별한 보안 설계의 일환으로 전용 음성 LAN을 설정하는 것이 중요합니다."
금지: VoIP를 방화벽 외부에 두십시오
VoIP 전화는 이더넷에 연결된 컴퓨팅 장치입니다. 연결된 엔드 포인트 인 Machado는 고객이 다른 컴퓨팅 장치와 마찬가지로 회사 방화벽 뒤에 있어야한다는 것을 기억하는 것이 중요하다고 말했습니다.
Machado는“VoIP 전화는 사용자가 로그인하고 관리자가 전화로 시스템 관리를 수행 할 수있는 사용자 인터페이스를 가지고 있습니다. 모든 VoIP 전화에 무차별 대입 공격을 막기위한 펌웨어가있는 것은 아닙니다. "몇 번의 시도 후에도 이메일 계정이 잠길 수 있지만 모든 VoIP 전화가 같은 방식으로 작동하는 것은 아닙니다. 방화벽을 방화벽 앞에 두지 않으면 웹 응용 프로그램을 스크립트를 작성하려는 인터넷의 모든 사람에게 여는 것과 같습니다 무차별 대입 공격 및 로그인."
VoIP 시스템 관리
DO: 기본 비밀번호 변경
VoIP 핸드셋을받는 제조업체에 관계없이 장치에는 웹 UI와 함께 제공되는 다른 하드웨어와 같은 기본 자격 증명이 제공됩니다. Machado는 Mirai 봇넷 DDoS 공격으로 이어진 단순한 취약점을 피하기 위해 가장 쉬운 방법은 단순히 기본값을 변경하는 것이라고 말했습니다.
Machado는“고객은 자신의 전화를 보호하기 위해 사전 조치를 취해야합니다. "기본 암호를 즉시 변경하거나 공급 업체가 전화 끝점을 관리하는 경우 사용자 대신 기본 암호를 변경하고 있는지 확인하십시오."
DO: 사용량 추적
클라우드 폰 시스템, 온-프레미스 음성 시스템 또는 PBX (Private Branch Exchange)이든 관계없이 Machado는 모든 VoIP 서비스에 공격 영역이 있으며 결국 해킹 당할 수 있다고 말했습니다. 그는 가장 일반적인 공격 중 하나는 ATO (Account Takeover)라고하며 통신 사기 또는 트래픽 펌핑이라고도합니다. 즉, VoIP 시스템이 해킹되면 공격자는 해당 소유자의 비용이 드는 통화를 시도합니다. 최선의 방어책은 사용량을 추적하는 것입니다.
"위협 행위자라고 말하십시오. 음성 서비스에 액세스 할 수 있고 전화를 걸려 고합니다. 조직의 사용량을보고있는 경우, 청구서가 비정상적으로 높거나 더 많은지 확인할 수 있습니다. 직원이 전화를 걸 이유가없는 위치에서 45 분 동안 전화를 사용하는 사용자와 같은 것입니다. 모든 것이 주목해야합니다. "라고 Machado는 말했습니다.
"기존 PBX 또는 온-프레미스 VoIP를 사용하지 않고 클라우드를 구현하고 있다면 공급 업체와 대화하여 나를 보호하기 위해 무엇을하고 있는지 물어보십시오." "서비스와 관련하여 켜고 끌 수있는 손잡이와 다이얼이 있습니까? 백엔드 사기 모니터링이나 사용자 행동 분석을 수행하여 내 변칙적 인 사용법을 찾고 있습니까? 중요한 질문입니다."
금지: 광범위한 보안 권한이 없음
사용과 관련하여 잠재적 인 ATO 피해를 막는 한 가지 방법은 만일을 위해 비즈니스에 필요하지 않은 권한과 기능을 끄는 것입니다. 마카도는 국제 전화를 예로 들었습니다.
"귀하의 비즈니스가 전 세계의 모든 지역에 전화를 걸 필요가 없다면 전 세계의 모든 지역에 전화를 걸지 마십시오"라고 그는 말했습니다. "미국, 캐나다 및 멕시코에서만 사업을하는 경우 다른 모든 국가에 전화를 걸고 싶거나 ATO의 경우 해당 국가를 폐쇄하는 것이 합리적입니까? "기술 서비스에 대한 사용자 및 비즈니스 용도에 필요하지 않은 모든 항목은 광범위한 것으로 간주됩니다."
하지 마십시오: 패치를 잊어 버리십시오
모든 종류의 소프트웨어에는 업데이트로 패치하고 최신 상태를 유지하는 것이 중요합니다. 소프트 폰, VoIP 모바일 앱 또는 펌웨어 업데이트가 포함 된 모든 종류의 하드웨어를 사용하든 Machado는 이것이 가장 쉬운 방법이라고 말했습니다.
"자신의 VoIP 전화를 관리하고 있습니까? 공급 업체가 펌웨어를 출시하면 신속하게 테스트하고 배포합니다.이 유형은 종종 모든 유형의 패치를 처리합니다. 때로는 보안 패치가 전화를 대신하여 공급 업체를 대신하여 공급하는 경우도 있습니다. Machado는 "패치를 제어하는 사람과주기를 물어보아야한다"고 말했다.
DO: 강력한 인증 사용
강력한 2 단계 인증 및 더 많은 ID 관리에 대한 투자는 또 다른 현명한 보안 관행입니다. Machado는 VoIP 외에도 인증이 항상 중요한 요소라고 말했다.
Machado는 "강력한 인증을 항상 설정합니다. 클라우드 PBX 나 이메일 또는 CRM에 로그인하는 경우에는 다르지 않습니다. 이러한 기능을 찾아서 사용하십시오"라고 Machado는 말했습니다. "우리는 단지 책상 위의 전화에 대해서만 말하는 것이 아니라 웹 응용 프로그램과 서비스의 모든 다른 부분에 대해 이야기하고 있습니다. 조각들이 어떻게 구성되고 각 조각을 차례로 보호하는지 이해하십시오."
