确保您的voip通信安全的有无

对于您的业务中插入的每个基于云的服务，安全性都是必不可少的，并且攻击媒介每天都在演变。 对于充当企业通信中心的Internet连接应用程序（例如IP语音（VoIP）应用程序），从内而外的安全措施显得尤为重要，特别是要了解应避免的做法和问题领域。

无论是确保安全的用户身份验证和网络配置，还是在所有VoIP通信和数据存储中启用端到端加密，组织都必须勤于监督IT管理并与业务VoIP提供商紧密合作，以确保满足安全要求。遇见并执行。

RingCentral的首席安全官（CSO）Michael Machado负责管理RingCentral的所有云和VoIP服务的安全性。 在过去的15年中，Machado一直在IT和云安全领域中度过，首先在WebEx担任安全架构师和运营经理，然后在该公司收购了视频会议服务之后又在Cisco任职。

公司的VoIP通信中的安全性考虑始于研究和购买阶段，甚至还没有选择VoIP提供商，并且在实施和管理过程中一直存在。 Machado从安全角度讲解了整个过程，并一路停下来为各种规模的企业解释很多要做的事情。

选择您的VoIP提供商

请勿：忽略共享安全模型

无论您是小型企业还是大型企业，您需要了解的第一件事（甚至与VoIP和统一通信即服务（UCaaS）无关）都是所有云服务通常都需要具有共享的安全性模型。 Machado表示，作为客户，您的企业始终在安全实施所采用的所有云服务方面共同承担一些责任。

Machado说：“这是客户理解的关键，尤其是在公司规模较小且资源较少的情况下。” “人们认为VoIP是连接到铜线上的机械设备。事实并非如此。VoIP电话，无论是物理手机，运行软件的计算机，移动应用程序还是软电话应用程序，与将机械电话插入PSTN中。它不像普通电话，您将承担确保安全性在客户和供应商之间形成闭环的责任。”

DO：供应商尽职调查

一旦您了解了共同的责任并希望采用云VoIP服务，就可以在选择供应商时进行尽职调查。 根据您的规模和您在员工方面的专业知识，Machado解释了企业和中小型企业（SMB）如何以不同的方式实现这一目标。

“如果您是一家大公司，可以花时间进行尽职调查，则可以提出一系列问题，询问每个供应商，审查他们的审计报告，并举行几次会议讨论安全性，” Machado说。 。 “如果您是小型企业，则可能没有分析SOC 2审计报告的专业知识，也没有时间进行繁重的讨论。

“相反，您可以查看Gartner的“魔力象限”报告之类的内容，并查看它们是否具有SOC 1或SOC 2报告，即使您没有时间或专业知识来阅读和理解它，” Machado解释。 “审计报告很好地表明了公司对安全性进行了大力投资，而对未投资的公司进行了投资。除SOC 2之外，您还可以查找SOC 3报告。它是相同标准的轻量级，类似认证的版本。这些都是您希望作为小型企业开始朝着正确的安全方向发展的东西。”

DO：协商合同中的安全条款

现在，您已经选择了VoIP供应商，正在考虑做出购买决定的可能性。 Machado建议，在与云供应商谈判合同时，企业应尽可能尝试以书面形式获得明确的安全协议和条款。

马查多说：“小公司，大公司都没关系。公司越小，谈判这些特定条款所需要的权力就越少，但这是一个'不问，不取'的方案。” “查看有关卖方的安全义务，您可以从卖方协议中获得什么。”

部署VoIP安全措施

要做的事：使用加密的VoIP服务

关于部署，Machado说，现代VoIP服务没有不提供端到端加密的任何借口。 Machado建议组织寻找支持传输层安全性（TLS）或安全实时传输协议（SRTP）加密的服务，并且最好在不增加核心安全措施的情况下做到这一点。

Machado说：“并非总是选择最便宜的服务；为获得更安全的VoIP而支付额外费用可能是值得的。更好的是，当您不必为云服务的安全性支付额外费用时。” “作为客户，您应该只能够启用加密的VoIP，然后就可以使用。您的提供商不仅要使用加密的信号，还要对静止的媒体进行加密，这一点也很重要。人们希望对话是私密的，而不是遍历Internet。使用纯文本语音。请确保您的供应商将支持该级别的加密，并且不会让您付出更多。”

不要：混合您的局域网

在部署的网络端，大多数组织都使用手机和基于云的界面。 许多员工可能只是在使用VoIP移动应用程序或软件电话，但通常还会有台式电话和会议电话连接到VoIP网络。 对于所有这些外形尺寸，Machado表示，至关重要的是，不要在同一网络设计中混用外形尺寸和连接的设备。

Machado说：“您想建立一个单独的语音LAN。您不希望您的硬语音电话与工作站和打印机在同一网络中混合在一起。这不是一个好的网络设计。” “如果有的话，安全隐患就会成问题。您的工作区之间没有任何理由进行对话。我的笔记本电脑不需要与您进行对话；这与服务器场中正在与应用程序进行对话的服务器不同数据库。”

相反，马查多建议…

DO：设置专用VLAN

正如Machado解释的那样，专用VLAN（虚拟LAN）使IT经理可以更好地分段和控制网络。 专用VLAN充当将设备连接到路由器，服务器或网络的单个访问和上行链路点。

“从端点安全体系结构的角度来看，专用VLAN是一种很好的网络设计，因为专用VLAN使您能够在交换机上启用此功能，即'该工作站无法与其他工作站进行通信'。 如果您的VoIP电话或具有语音功能的设备与其他所有设备都位于同一网络上，那将不起作用。” “重要的是，将您的专用语音局域网设置为特权更高的安全设计的一部分。”

请勿：将VoIP置于防火墙之外

VoIP电话是插入以太网的计算设备。 作为连接的端点，Machado说，让客户记住与其他任何计算设备一样，它也必须位于公司防火墙之后，这一点很重要。

Machado说：“ VoIP电话具有一个用户界面，供用户登录并供管理员在电话上进行系统管理。并非每个VoIP电话都具有可防止暴力攻击的固件。” “您的电子邮件帐户将在几次尝试后被锁定，但是并非所有VoIP电话都以相同的方式工作。如果您不对防火墙进行设置，这就像向希望编写脚本的Internet上的任何人打开该Web应用程序一样暴力攻击并登录。”

VoIP系统管理

请执行以下操作：更改默认密码

不管您从哪个制造商那里接收VoIP手机，这些设备都将使用默认凭据（与Web UI随附的任何其他硬件一样）提供。 为了避免导致Mirai僵尸网络DDoS攻击的简单漏洞，Machado说，最简单的方法就是更改这些默认值。

Machado说：“客户需要采取积极措施来保护手机安全。” “立即更改默认密码，或者，如果您的供应商为您管理电话端点，请确保它们代表您更改了这些默认密码。”

要做：跟踪您的用法

无论是云电话系统，内部语音系统还是专用小交换机（PBX），Machado都表示，所有VoIP服务都具有攻击面，最终可能会遭到黑客入侵。 发生这种情况时，他说，最典型的攻击之一是帐户接管（ATO），也称为电信欺诈或流量激增。 这意味着，当VoIP系统被黑客入侵时，攻击者将尝试拨打耗费所有者金钱的呼叫。 最好的防御方法是跟踪使用情况。

“假设您是威胁者。您可以使用语音服务，并且尝试拨打电话。如果您的组织正在监视其使用情况，则可以发现是否有异常高昂的账单，或者看到就像是用户拨打电话长达45分钟，所在位置没有员工有任何理由打电话的情况。这全都在于关注，”马查多说。

他补充说：“如果要对此进行云化处理（意味着，不使用传统的PBX或本地VoIP），请与您的供应商进行对话，询问您正在采取什么措施来保护我。” “是否有旋钮和转盘可以让我打开和关闭服务？您是在进行后端欺诈监视或用户行为分析，以代表我使用异常吗？这些是要问的重要问题。”

请勿：拥有广泛的安全权限

在使用方面，为防止潜在的ATO损害，一种方法是关闭您不知道的业务所需的权限和功能，以防万一。 马查多举国际电话为例。

他说：“如果您的业务不需要呼叫世界各地，那么就不要打开呼叫世界各地的电话。” “如果您仅在美国，加拿大和墨西哥开展业务，您是否想让其他所有国家都可以拨打电话，或者就ATO而言将其关闭是有意义的吗？您的用户使用任何技术服务，以及您的业务使用中不需要的任何东西，都被视为过分广泛。”

不要：忘记补丁

使用任何类型的软件，修补程序并保持最新状态都是至关重要的。 无论您使用的是软件电话，VoIP移动应用程序，还是任何具有固件更新的硬件，Machado都说这很容易。

“您是在管理自己的VoIP电话吗？如果供应商发布了固件，请对其进行快速测试和部署-它们通常会处理所有类型的补丁。有时，安全补丁来自于代表您管理电话的供应商，因此，请务必询问谁控制修补程序以及周期是什么，”马查多说。

DO：启用强身份验证

强大的两因素身份验证和加大身份管理的投入是另一种明智的安全实践。 Machado表示，除VoIP外，身份验证始终是重要的因素。

Machado说：“始终启用强身份验证。如果您登录到云PBX或电子邮件或CRM，这没有什么不同。寻找并使用这些功能。” “我们不仅在谈论桌上的电话；我们在谈论Web应用程序和服务的所有不同部分。了解各个部分如何组合在一起并依次保护每个部分。”