Azure 通信网关的安全性概述

可将客户数据 Azure 通信网关句柄拆分为：

• 内容数据，例如语音呼叫的媒体。
• 在 Azure 通信网关上预配或通话元数据中存在的客户数据。

静态数据保留、数据安全和加密

Azure 通信网关不存储内容数据，但它确实存储客户数据。

• 在 Azure 通信网关上预配的客户数据包括为特定通信服务配置号码。 需要将号码与这些通信服务匹配，（可选）对调用进行特定于号码的更改，例如添加自定义标头。
• 来自呼叫元数据的临时客户数据最多存储 30 天，用于提供统计信息。 30 天后，无法再访问来自调用元数据的数据，无法对单个调用执行诊断或分析。 根据客户数据生成的匿名统计信息和日志在 30 天限制后可用。

组织对 Azure 通信网关的访问权限是使用 Microsoft Entra ID 管理的。 有关员工所需的权限的详细信息，请参阅 为 Azure 通信网关设置用户角色。 有关预配 API 的 Microsoft Entra ID 的信息，请参阅 预配 API 的 API 参考 。

Azure 通信网关不支持 Microsoft Azure 的客户密码箱。 但是，Microsoft 工程师只能实时访问数据，并且只能用于诊断目的。

Azure 通信网关安全地存储静态所有数据，包括预配的客户和号码配置以及任何临时客户数据，例如呼叫记录。 Azure 通信网关使用标准 Azure 基础结构和平台管理的加密密钥，以提供符合一系列安全标准（包括 FedRAMP）的服务器端加密。 有关详细信息，请参阅 静态数据的加密。

传输中加密

Azure 通信网关处理的所有流量均已加密。 此加密用于 Azure 通信网关组件和Microsoft 电话系统。

• SIP 和 HTTP 流量是使用 TLS 加密的。
• 媒体流量使用 SRTP 进行加密。

加密要发送到网络的流量时，Azure 通信网关更喜欢 TLSv1.3。 如有必要，它会回退到 TLSv1.2。

SIP 和 HTTPS 的 TLS 证书

Azure 通信网关对 SIP 和 HTTPS 使用相互 TLS，这意味着客户端和服务器用于连接相互验证。

必须管理网络向 Azure 通信网关显示的证书。 默认情况下，Azure 通信网关支持 DigiCert 全局根 G2 证书和 Baltimore CyberTrust 根证书作为根证书颁发机构 （CA） 证书。 如果网络向 Azure 通信网关提供的证书使用不同的根 CA 证书，则必须在将 Azure 通信网关连接到网络时向加入团队提供此证书。

我们管理 Azure 通信网关用于连接到网络、Microsoft 电话系统和缩放服务器的证书。 Azure 通信网关的证书使用 DigiCert 全局根 G2 证书作为根 CA 证书。 如果网络尚不支持此证书作为根 CA 证书，则必须在将 Azure 通信网关连接到网络时下载并安装此证书。

TLS（适用于 SIP 和 HTTPS）和 SRTP 的密码套件

以下密码套件用于加密 SIP、HTTP 和 RTP。

用于 SIP 和 HTTPS 的 TLSv1.2 的密码

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

用于 SIP 和 HTTPS 的 TLSv1.3 的密码

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

用于 SRTP 的密码

• AES_CM_128_HMAC_SHA1_80

后续步骤

• 读取 Azure 通信网关的安全基线
• 了解 Azure 通信网关的用户角色
• 了解如何 规划 Azure 通信网关部署