Конференция

26.03.2024

Практика построения защищенных ВКС-систем в Волгограде

Блог

Вернуться

Как TrueConf Server защищает данные пользователей

19.03.2024
Димитрий Зуйков

Димитрий Зуйков

При проведении корпоративных видеоконференций важным фактором является конфиденциальность — злоумышленники должны быть лишены возможности получить доступ к данным, даже если у них получится вторгнуться во внутреннюю сеть компании.

Мы очень серьёзно относимся к обеспечению конфиденциальности конференций наших клиентов.

В TrueConf Server предусмотрено множество уровней обеспечения безопасности – от базовых до криптографически неприступных.

Уровень 1. Настройка авторизации и ограничение прав

Посторонний человек не может без вашего ведома подключиться к корпоративной системе ВКС TrueConf. При этом данные для авторизации устанавливаются администратором сети отдельно для каждого пользователя, либо импортируются по LDAP из службы каталогов (Active Directory, OpenLDAP, FreeIPA, ALD Pro и пр.).

Администратор сервера может использовать дополнительные настройки для повышения безопасности доступа:

Для проведения публичных конференций (например, вебинаров) можно разрешить гостевой доступ для неавторизованных пользователей, тонко настроив им параметры участия. Вы можете:

Уровень 2. Собственный видеокодек TrueConf

Для кодирования видео мы используем собственную модификацию кодека VP8, реализующую технологию SVC, поэтому, даже завладев видеопотоком (что тоже практически невозможно – см. следующие разделы), злоумышленник не сможет декодировать видео стандартными средствами.

Уровень 3. Работа по одному порту

Для передачи медиапотоков и сигнальных данных по протоколу TrueConf между приложениями TrueConf и сервером TrueConf Server используется всего один TCP порт – 4307. Трафик при этом шифруется с помощью TLS и при необходимости дополнительно в соответствии с ГОСТ.

Если не планируется использование сторонних протоколов (WebRTC, SIP, H.323, RTSP и RTMP), то все порты кроме 4307 и 443 (используется для работы по защищённому протоколу HTTPS) можно закрыть на вашем сетевом оборудовании. Это позволит обеспечить максимальную безопасность службы ВКС на «железном» уровне.

Уровень 4. Контроль доступа к администрированию сервера ВКС

Вы можете разрешить доступ к панели управления сервером на разных уровнях:

Это исключает доступ к панели управления сторонних лиц.

Уровень 5. Шифрование управляющих данных

В наш протокол передачи сигналов, регулирующих порядок обмена информацией, инкапсулирован хорошо зарекомендовавший себя протокол защиты транспортного уровня TLS (более современная версия SSL). Этот протокол также используется нами для защиты соединений через сторонние протоколы SIP и WebRTC, которые используются для связи с браузерами и сторонним ВКС-оборудованием шлюзом TrueConf Server.

Для интеграции со службами каталогов доступно использование защищённого протокола LDAPS с использованием TLS-сертификата.

Уровень 6. Шифрование медиаданных

TrueConf Server допускает подключение криптографических библиотек, сертифицированных на соответствие ГОСТ. Такую библиотеку вы можете приобрести у отечественных поставщиков сертифицированных криптоалгоритмов.

Медиаданные (видео, звук и контент), передаваемые через шлюз TrueConf Server, также шифруются в зависимости от используемой технологии:

  • WebRTC – с помощью протоколов и алгоритмов DTLS и SRTP;
  • SIP – по протоколу SRTP;
  • H.323 – по протоколу H.235.

Уровень 7. Сквозное шифрование с помощью VPN-шлюзов

Для полной уверенности в защите конфиденциальности ваших видеоконференций между сегментами сети вашего предприятия можно установить программные или программно-аппаратные VPN-шлюзы, которые обеспечат сквозное шифрование всего корпоративного трафика по портам, используемым службами TrueConf. Как вы уже заметили, таких обязательных портов всего два.

В рамках тех. поддержки наши специалисты будут рады помочь вам настроить работу нашего ПО с этими системами.

Также хотелось бы отметить, что по результатам аудита, совместных испытаний и нагрузочных тестов TrueConf Server полностью совместим с самыми популярными в СНГ решениями этого класса от компаний ИнфоТеКС, С-Терра, КриптоПро NGate и Код Безопасности.

Уровень 8. Автономная работа в закрытой сети

И главное. При использовании TrueConf Server вы полностью исключаете риски, связанные с зависимостью от облачных провайдеров:

  • только ваши сотрудники имеют физический доступ к серверам, которые обеспечивают работоспособность службы ВКС;
  • TrueConf Server полностью автономен и не требует подключения к Интернету для работы, поэтому может быть изолирован внутри корпоративной (закрытой) сети, где доступ к его службам будут иметь только ваши пользователи;
  • вы полностью контролируете выделение аппаратных ресурсов для компонентов TrueConf Server и можете быть уверены, что они не будут заняты сторонним ПО.

Используя облачные или гибридные ВКС системы, вы никогда не можете быть уверенными в том, что:

  • разработчики облачных сервисов не имеют удалённого доступа к своим серверам, отчётам, параметрам устройств участников конференции и прочей чувствительной информации;
  • системные администраторы, обслуживающие ЦОД таких ВКС сервисов, не имеют доступа к среде исполнения и её файловой системе;
  • в рамках исполнения иностранного законодательства о раскрытии данных пользователей или для проведения различных сертификаций сотрудники таких сервисов не создадут риски компрометации информации о ваших переговорах;
  • записи ваших переговоров не могут быть доступны любому злоумышленнику в сети Интернет, перехватившему логин и пароль от вашей учётной записи.

При использовании TrueConf Server вы полностью исключаете эти риски. Только ваши сотрудники имеют физический доступ к серверам, которые обеспечивают работоспособность службы ВКС. А сам TrueConf Server полностью автономен и не требует подключения к Интернету для работы, поэтому может быть изолирован внутри корпоративной (закрытой) сети, где доступ к его службам будут иметь только ваши пользователи.

Уровень 9. Тонкая настройка срока хранения файлов

Для повышения безопасности доступа к данным администратор TrueConf Server может независимо настроить сроки хранения:

Независимо от этого есть возможность ограничить объём дискового пространства, который выделен для хранения файлов чатов.

Уровень 10. Доступ к API сервера с помощью защищённого протокола OAuth 2.0

TrueConf Server предоставляет богатый набор инструментов API для более полной интеграции севера ВКС и стороннего программного обеспечения. При этом используется механизм OAuth 2.0, что обеспечивает ряд преимуществ:

  • работа по безопасному протоколу HTTPS;
  • разграничение доступа приложения к API в зависимости от роли и настроенных для него разрешений;
  • процесс авторизации приложения с помощью сложного короткоживущего токена доступа без необходимости передачи в явном виде логина и пароля.

Подробнее о работе с TrueConf Server API читайте в соответствующей статье базы знаний.

Уровень 11. Постоянные обновления безопасности

Для TrueConf Server поддерживается максимальная защита от возможных атак благодаря тому, что:

  • помимо внутреннего аудита наш продукт проходит регулярные проверки безопасности со стороны крупнейших отечественных и иностранных заказчиков;
  • все найденные уязвимости фиксируются в БДУ ФСТЭК и в базах Национального института стандартов и технологий США (NIST);
  • мы как вендор оперативно выпускаем обновления для всех найденных уязвимостей.

Уровень 12. Поддержка шифрования хранящихся данных

Вы можете использовать различные сторонние методы шифрования, что не повлияет на работоспособность TrueConf Server:

  • аппаратное шифрование всего диска;
  • программное шифрование на уровне логического раздела диска (например, eCryptfs на ОС Linux или BitLocker в Windows).

Не нашли ответ на свой вопрос? Напишите нам в онлайн-чате, мы будем рады помочь.

Подписка на новости