我的一个客户正在与一家大型企业谈判达成协议。他们想部署基于WebRTC的服务。当进入实质性阶段时,企业方面的IT专家面临着“我听说WebRTC不安全”的说法。我的客户没有为此做好准备,安全成了一个需要回答的问题。
从那时起,我们就如何解决这个问题进行了头脑风暴,确保弄清楚他们使用的信号的细节(该部分适用于使用WebRTC保护的开发人员)。我们已经解决了问题,我们认为WebRTC是企业可部署的安全解决方案,原因如下:
1、WebRTC设计安全
Tsahi Levent-Levi
WebRTC是我所知道的唯一一种默认情况下会加密所有通信的VoIP标准。
在之前的所有标准中,身份验证和加密方面的安全性排在第二位。它们最多是可选的,并且通常在实际过程中被禁用。
使用WebRTC这是不可能的,因为所有会话都会加密并且只要您的通信持续就会保持这种状态。
这种对隐私的关注不仅仅是规范的一部分,而且也是WebRTC的一个过程,这导致了下一个原因 --
2、提出的安全问题得到解决
WebRTC已合并到浏览器中。浏览器应该是安全的,因为我们的日常办公室生活很多都发生在他们面前。为此,所有浏览器都有短暂的发布时间表,范围从几周到几个月,在需要时可以部署安全补丁。除非另有配置,浏览器也会自动更新。新的浏览器版本将在几天内被采集并采用。
有两个方面表明了对安全性的关注 -- IP泄漏问题和模糊测试。
- IP泄漏:几年来,人们一直抱怨WebRTC在协商过程中共享本地IP地址,这是所有VoIP产品只是为了让他们的会话连接起来的事情。使用WebRTC这有点棘手,因为该信息通过浏览器传递,从而可以访问应用程序和任何加载的扩展,作为流程的一部分。目前正在尝试使用mDNS地址替换本地IP地址的解决方案。这个过程本身远非完美,但它正在WebRTC的规范和实施层面得到解决和处理。
- 模糊测试:Google有一个名为Project Zero的东西,他们让开发人员在不同产品中找到零日漏洞。他们最近的尝试让他们宣传了一些iOS问题。对于视频会议,他们继续尝试使用称为模糊测试的技术来崩溃和刻录不同的应用程序。在这个过程中,他们发现并提交了几个针对WebRTC的错误(后来修复了)。
WebRTC正在认真对待安全问题。可能比大多数其他供应商更多。
3、专有解决方案有他们自己未知的威胁
使用专有解决方案时,您将受到该解决方案开发人员的支配。潜在威胁比已经知道许多威胁的开放标准更多。
WebRTC开辟了使用浏览器和减少通信摩擦的能力,将许多安全问题从供应商转移到浏览器供应商。不使用WebRTC的供应商?他们的解决方案可能会引发一些有趣的安全挑战。
Zoom最简单和最有效的服务最近被发现存在严重的安全问题。
专有解决方案可能是安全的,但除了依赖告诉您的供应商之外,您无法控制或了解该解决方案的实际真实情况。
4、每个人都在使用WebRTC
让我们从Gartner的2019年UCaaS魔力象限开始:
Gartner UCaaS Magic Quadrant 2019
- Google Meet,Hangouts,Duo和Voice都使用WebRTC
- Microsoft Teams使用WebRTC
- RingCentral在其语音产品中使用WebRTC
- 8×8使用WebRTC。他们从Atlassian收购了Jitsi,Atlassian是一个受欢迎的开源视频服务提供商。8×8会议已经在使用Jitsi(= WebRTC)
- 思科在Webex中使用WebRTC
- Fuze使用WebRTC
- Dialpad使用WebRTC
- LogMeIn使用WebRTC
- ALE使用WebRTC
- Mitel,StarBlue和Windstream是关于WebRTC使用的唯一未知数
企业非常适合部署基于WebRTC的服务。所有行业都是如此,包括金融和医疗等高度监管的行业。
甚至Zoom,他们不想使用WebRTC,现在在浏览器中使用Zoom时,正在使用WebRTC中的数据通道。
WebRTC安全吗?
下一次潜在的企业客户告诉您WebRTC不安全时,只需将其打印出来并请他阅读。 WebRTC是一种非常适合统一通信,联络中心的解决方案 -- 任何用户需要通过语音或视频进行通信的系统。
声明:版权所有 非合作媒体谢绝转载
作者:Tsahi Levent-Levi
原文网址:https://www.uctoday.com/unified-communications/webrtc-for-the-security-conscious-enterprise/
