我的一個(gè)客戶正在與一家大型企業(yè)談判達(dá)成協(xié)議。他們想部署基于WebRTC的服務(wù)。當(dāng)進(jìn)入實(shí)質(zhì)性階段時(shí),企業(yè)方面的IT專家面臨著“我聽說WebRTC不安全”的說法。我的客戶沒有為此做好準(zhǔn)備,安全成了一個(gè)需要回答的問題。
從那時(shí)起,我們就如何解決這個(gè)問題進(jìn)行了頭腦風(fēng)暴,確保弄清楚他們使用的信號(hào)的細(xì)節(jié)(該部分適用于使用WebRTC保護(hù)的開發(fā)人員)。我們已經(jīng)解決了問題,我們認(rèn)為WebRTC是企業(yè)可部署的安全解決方案,原因如下:
1、WebRTC設(shè)計(jì)安全
Tsahi Levent-Levi
WebRTC是我所知道的唯一一種默認(rèn)情況下會(huì)加密所有通信的VoIP標(biāo)準(zhǔn)。
在之前的所有標(biāo)準(zhǔn)中,身份驗(yàn)證和加密方面的安全性排在第二位。它們最多是可選的,并且通常在實(shí)際過程中被禁用。
使用WebRTC這是不可能的,因?yàn)樗袝?huì)話都會(huì)加密并且只要您的通信持續(xù)就會(huì)保持這種狀態(tài)。
這種對(duì)隱私的關(guān)注不僅僅是規(guī)范的一部分,而且也是WebRTC的一個(gè)過程,這導(dǎo)致了下一個(gè)原因 --
2、提出的安全問題得到解決
WebRTC已合并到瀏覽器中。瀏覽器應(yīng)該是安全的,因?yàn)槲覀兊娜粘^k公室生活很多都發(fā)生在他們面前。為此,所有瀏覽器都有短暫的發(fā)布時(shí)間表,范圍從幾周到幾個(gè)月,在需要時(shí)可以部署安全補(bǔ)丁。除非另有配置,瀏覽器也會(huì)自動(dòng)更新。新的瀏覽器版本將在幾天內(nèi)被采集并采用。
有兩個(gè)方面表明了對(duì)安全性的關(guān)注 -- IP泄漏問題和模糊測(cè)試。
- IP泄漏:幾年來,人們一直抱怨WebRTC在協(xié)商過程中共享本地IP地址,這是所有VoIP產(chǎn)品只是為了讓他們的會(huì)話連接起來的事情。使用WebRTC這有點(diǎn)棘手,因?yàn)樵撔畔⑼ㄟ^瀏覽器傳遞,從而可以訪問應(yīng)用程序和任何加載的擴(kuò)展,作為流程的一部分。目前正在嘗試使用mDNS地址替換本地IP地址的解決方案。這個(gè)過程本身遠(yuǎn)非完美,但它正在WebRTC的規(guī)范和實(shí)施層面得到解決和處理。
- 模糊測(cè)試:Google有一個(gè)名為Project Zero的東西,他們讓開發(fā)人員在不同產(chǎn)品中找到零日漏洞。他們最近的嘗試讓他們宣傳了一些iOS問題。對(duì)于視頻會(huì)議,他們繼續(xù)嘗試使用稱為模糊測(cè)試的技術(shù)來崩潰和刻錄不同的應(yīng)用程序。在這個(gè)過程中,他們發(fā)現(xiàn)并提交了幾個(gè)針對(duì)WebRTC的錯(cuò)誤(后來修復(fù)了)。
WebRTC正在認(rèn)真對(duì)待安全問題。可能比大多數(shù)其他供應(yīng)商更多。
3、專有解決方案有他們自己未知的威脅
使用專有解決方案時(shí),您將受到該解決方案開發(fā)人員的支配。潛在威脅比已經(jīng)知道許多威脅的開放標(biāo)準(zhǔn)更多。
WebRTC開辟了使用瀏覽器和減少通信摩擦的能力,將許多安全問題從供應(yīng)商轉(zhuǎn)移到瀏覽器供應(yīng)商。不使用WebRTC的供應(yīng)商?他們的解決方案可能會(huì)引發(fā)一些有趣的安全挑戰(zhàn)。
Zoom最簡(jiǎn)單和最有效的服務(wù)最近被發(fā)現(xiàn)存在嚴(yán)重的安全問題。
專有解決方案可能是安全的,但除了依賴告訴您的供應(yīng)商之外,您無法控制或了解該解決方案的實(shí)際真實(shí)情況。
4、每個(gè)人都在使用WebRTC
讓我們從Gartner的2019年UCaaS魔力象限開始:
Gartner UCaaS Magic Quadrant 2019
- Google Meet,Hangouts,Duo和Voice都使用WebRTC
- Microsoft Teams使用WebRTC
- RingCentral在其語音產(chǎn)品中使用WebRTC
- 8×8使用WebRTC。他們從Atlassian收購(gòu)了Jitsi,Atlassian是一個(gè)受歡迎的開源視頻服務(wù)提供商。8×8會(huì)議已經(jīng)在使用Jitsi(= WebRTC)
- 思科在Webex中使用WebRTC
- Fuze使用WebRTC
- Dialpad使用WebRTC
- LogMeIn使用WebRTC
- ALE使用WebRTC
- Mitel,StarBlue和Windstream是關(guān)于WebRTC使用的唯一未知數(shù)
企業(yè)非常適合部署基于WebRTC的服務(wù)。所有行業(yè)都是如此,包括金融和醫(yī)療等高度監(jiān)管的行業(yè)。
甚至Zoom,他們不想使用WebRTC,現(xiàn)在在瀏覽器中使用Zoom時(shí),正在使用WebRTC中的數(shù)據(jù)通道。
WebRTC安全嗎?
下一次潛在的企業(yè)客戶告訴您WebRTC不安全時(shí),只需將其打印出來并請(qǐng)他閱讀。 WebRTC是一種非常適合統(tǒng)一通信,聯(lián)絡(luò)中心的解決方案 -- 任何用戶需要通過語音或視頻進(jìn)行通信的系統(tǒng)。
聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載
作者:Tsahi Levent-Levi
原文網(wǎng)址:https://www.uctoday.com/unified-communications/webrtc-for-the-security-conscious-enterprise/
