セキュリティの概要
Contact Center Enterprise ソリューションのセキュリティを実現するには、アクセス、接続、要件そしてシステム管理を正確に定義するセキュリティポリシーが必要です。優れたセキュリティポリシーにより、使用可能なシスコの技術を使用して、データセンターのリソースを内部および外部の攻撃から保護できます。セキュリティ対策により、データプライバシー、整合性、およびシステムの可用性が確保されます。
Contact Center Enterprise ソリューションのセキュリティに関する考慮事項は、Cisco Unified Communications ソリューションの別のアプリケーションの考慮事項と類似しています。Contact Center Enterprise ソリューションは、非常にさまざまで、複雑なネットワーク設計を必要とすることがよくあります。これらの展開では、レイヤ 2 およびレイヤ 3 ネットワーキングまた、音声、VPN、QoS、Microsoft Windows Active Directory、その他のネットワーキングの問題への適性が必要です。この章では、これらのエリアについてのガイダンスの一部を説明します。ただし、これは安全なコンタクトセンターの展開に関してすべてが記載されたガイダンスではありません。
Unified Communications Security Solution ポータルと一緒に、http://www.cisco.com/c/en/us/solutions/enterprise/design-zone/index.html に記載されている「設計ゾーン」 の設計ドキュメントを使用します。これらのドキュメントは、Cisco Unified Communications 用のネットワーク インフラストラクチャの適切な構築に関する情報を提供します。特に、セキュリティおよび Cisco Unified Communications に関する関連ドキュメントを参照してください。
-
Cisco Unified Communications Manager に基づいた Cisco Unified Communications SRND
-
データセンターネットワーク:サーバファームセキュリティ SRNDv2
-
サイト間 IPSec VPN SRND
-
音声およびビデオに対応した IPSec VPN(V3PN)SRND
-
Business Ready Teleworker SRND
これらのドキュメントの更新や追加は定期的に行われるので, 頻繁に「設計ゾーン」を参照してください。
この章では、Windows Active Directory の設計および展開における複雑さについては限定して説明します。詳細については、Microsoft の次のトピックを参照してください。
-
新しい Active Directory 論理構造の設計
-
Active Directory の初回展開
-
既存の Windows 環境から Microsoft Windows サーバ 2012 R2 Active Directory へのアップグレード
-
現在の環境を Windows Active Directory 環境に強化
特に 、「Microsoft Windows サーバ 2012 R2」の「ディレクトリおよびセキュリティサービスの設計と展開」項を参照してください。この項は、組織のすべての Active Directory の設計と導入の目標を達成するために役立ちます。https://technet.microsoft.com/library/hh801901.aspx で Microsoft TechNet の項目を参照してください。
セキュリティレイヤ
適切に安全なソリューションを提供するには、さまざまな脅威から保護する多層化されたアプローチが必要です。
次のセキュリティ層を実装し、セキュリティ層のポリシーを確立します。
-
物理セキュリティ —コンタクトセンターのアプリケーションをホストするサーバが物理的に安全であることを確認します。権限を持つ担当者のみがアクセスできるデータセンター内のサーバを見つけ出します。また、ケーブル接続用のプランタ、ルータ、スイッチへのアクセスも制御します。強力な物理層ネットワーク セキュリティ プランの実装には、データスイッチでのポートセキュリティのような技術も含まれます。
-
境界セキュリティ — 安全なデータネットワークの設計や展開は複雑な情報カテゴリです。このガイドでは、Contact Center Enterprise ソリューションに対して効果な境界セキュリティを確立するリソースへの参照を提供します。
-
データセキュリティ — カスタマーの個人情報の盗聴を保護するレベルを向上させるため、Contact Center Enterprise ソリューションは、エージェントデスクトップで Transport Layer Security(TLS)をサポートします。また、サーバ間の通信チャネルを保護するための IPSec もサポートしています。
Note
Contact Center Enterprise ソリューションは、デフォルトで TLS 1.2 を使用します。ほとんどのコンポーネントでは、必要に応じて以前のバージョンの TLS を有効にすることができます。
-
ホスト べース ファイアウォール — Windows ファイアウォールを使い、一方的な着信トラフィックでサーバを攻撃する悪意のあるユーザやプログラムから保護します。VM の Windows ファイアウォール構成ユーティリティを使用して、Windows サーバ 2012 R2 のファイアウォール コンポーネントと統合します。
-
ウイルス保護 — 最新のウイルス定義ファイル(日次更新がスケジュールされている)を備えたウイルス対策アプリケーションをすべての VM で実行します。テスト済みおよびサポートされているすべてのウイルス対策アプリケーションの一覧については、ソリューションの「互換性マトリックス」を参照してください。
-
パッチ管理 — すべてのセキュリティ更新を適用せずにソリューションをライブネットワークに接続しないでください。Microsoft(Windows、SQL サーバ、Internet Explorer など)およびその他のサードパーティ製のセキュリティパッチを使用して、すべてのホストを最新の状態に保ちます。http://www.cisco.com/c/en/us/products/collateral/customer-collaboration/unified-contact-center-enterprise/product_bulletin_c25-455396.htmlで、サードパーティ製のパッチ管理ポリシーを参照してください。
これらのセキュリティ層の大半については、Contact Center Enterprise ソリューションが複数の機能をサポートしています。ただしシスコは、企業ポリシー、安全なソリューションの展開や維持の手順に関して、管理または強制はできません。
セキュアなシグナリングおよびメディアの設計と構成
TLS-SRTP は、CallServer で SIP 信号と RTP の暗号化をサポートします。この図は、包括的な展開モデルを説明しています。
導入モデル
-
Unsecured
この展開モデルは、CVP および VVB の以前のリリースのモデルです。操作は以前と同じようにレンダリングされます。これは、既存のソリューションに対して影響のない展開です。
-
セキュア シグナリングのみ
この展開モデルでは、セキュリティで保護されていないモデルにシグナリング セキュリティが導入されます。操作が強化され、コール セットアップ用の SIP が保護されます。これにより、音声が聞こえる前のすべてのデータ交換がセキュアな方法で行われます。
-
エージェント コールのメディア セキュリティを使用したセキュア シグナリング
この展開モデルは、シグナリング セキュリティをサポートし、発信者とエージェント間のメディアとオーディオのセキュリティをさらに追加します。発信者と企業内の IP ネットワークを介して伝送されるエージェント間の音声コンテンツは、ハッキングやスヌーピングに対して耐性があります。
-
IVR およびエージェント コールのエンドツーエンド メディア セキュリティを使用したシグナリング
この展開モードは、コールに対する完全なセキュリティ保護を提供します。これにより、シグナリングが保護されるだけでなく、発信者から IVR へのメディアと音声、およびエージェントも保護されます。
Note |
|
通話フロー
メディア暗号化(SRTP)の考慮事項
展開で SRTP を有効にする前に以下を考慮してください。
-
エージェントレグで安全なメディアを使用するには、インストール済みの IP 電話が SRTP と互換性があることを確認してください。
-
仮想化音声ブラウザは、VRU レグの SRTP をサポートします。
-
IOS VXML ゲートウェイは SRTP をサポートしません。
-
モバイルエージェントは SRTP を使用できません。
-
Cisco アウトバウンドオプション ダイヤラは SRTP をサポートしません。コールがダイヤラに接続されている間、コールは SRTP を使用できません。ただし、コールがダイヤラに接続されなくなると SRTP とネゴシエートできます。
プラットフォームの違い
Contact Center Enterprise ソリューションは、管理方法が異なる複数のアプリケーションサーバで構成されています。プライマリサーバは、中核的なコンポーネント向けです。これらサーバは、標準規格の(デフォルト)オペレーティングシステムのインストレーションのみにインストールします。Windows サーバ 2012 R2 にインストールしたコンポーネントには、Windows サーバソフトウェアのデフォルト リテール バージョンのみを使用します。最新のデバイスドライバ、セキュリティアップデートなどによって、オペレーティングシステムを最新の状態に保ちます。
Unified Communications Manager(Unified CM)などの一部のサーバは、Cisco Voice Operating System(VOS)で実行されます。シスコから該当するすべてのパッチオペレーティングシステムの更新を入手します。このオペレーティングシステムのセキュリティ強化仕様に関しては、http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/tsd-products-support-series-home.html の「『Cisco Collaboration System Solution Reference Network Designs』」および別の Unified CM 製品ドキュメントを参照してください。
適切なセキュリティはサーバによって異なります。これらのサーバを環境内で設計、導入、および保守する場合は、次の点に留意します。シスコの Unified Communications 製品は、同じカスタマイズ済みオペレーティングシステム、ウイルス対策アプリケーション、およびセキュリティ パス管理技術をサポートするという最終目標に向けて、常に機能強化されています。
セキュリティ設計要素
Unified CCE には http://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-enterprise/products-configuration-examples-list.html で Cisco Unified ICM/Contact Center Enterprise セキュリティ ガイド があります。そのガイドでは、この章の情報について説明されています。このガイドでは、セキュリティの実装の詳細と、Unified CCE 展開のセキュリティ確保に関する一般的なガイダンスについて説明します。セキュリティ機能には、次のトピックが含まれています。
-
暗号化のサポート
-
IPSec および NAT のサポート
-
Windows ファイアウォールの構成
-
自動セキュリティ強化
-
Microsoft Windows のアップデート
-
SQL サーバの強化
-
SSL 暗号化
-
Microsoft Baseline Security Analysis
-
監査
-
ウイルス対策ガイドライン
-
セキュアなリモート管理
-
シングル サインオン
ガイドラインは、Microsoft や他のサードパーティベンダーによって発表された強化ガイドラインの一部に基づいています。このガイドは、製品内のほとんどのセキュリティ機能の基準点として機能します。このガイドでは、さまざまな Contact Center Enterprise ツールにバンドルされている Automated OS および SQL Security Hardening のインストレーションに関して説明します。
その他のセキュリティ機能
セキュリティに関するトピック |
ドキュメントおよび URL |
---|---|
サーバのステージングおよび Active Directory の展開 |
Cisco Unified ICM/Contact Center Enterprise ステージング ガイド at http://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-enterprise/products-installation-guides-list.html |
SNMPv3 の認証および暗号化 |
Cisco Unified ICM/Contact Center Enterprise SNMP ガイド at http://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-enterprise/products-configuration-examples-list.html |
機能制御(ソフトウェアアクセス制御) |
Cisco Unified ICM/Contact Center Enterprise コンフィギュレーション ガイド at http://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-enterprise/products-configuration-examples-list.html |
リアルタイムクライアントの検証 |
Cisco Unified ICM セットアップおよびコンフィグレーション ガイド at http://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-enterprise/products-installation-guides-list.html |