我的一個客戶正在與一家大型企業(yè)談判達成協議。他們想部署基于WebRTC的服務。當進入實質性階段時,企業(yè)方面的IT專家面臨著“我聽說WebRTC不安全”的說法。我的客戶沒有為此做好準備,安全成了一個需要回答的問題。
從那時起,我們就如何解決這個問題進行了頭腦風暴,確保弄清楚他們使用的信號的細節(jié)(該部分適用于使用WebRTC保護的開發(fā)人員)。我們已經解決了問題,我們認為WebRTC是企業(yè)可部署的安全解決方案,原因如下:
1、WebRTC設計安全
Tsahi Levent-Levi
WebRTC是我所知道的唯一一種默認情況下會加密所有通信的VoIP標準。
在之前的所有標準中,身份驗證和加密方面的安全性排在第二位。它們最多是可選的,并且通常在實際過程中被禁用。
使用WebRTC這是不可能的,因為所有會話都會加密并且只要您的通信持續(xù)就會保持這種狀態(tài)。
這種對隱私的關注不僅僅是規(guī)范的一部分,而且也是WebRTC的一個過程,這導致了下一個原因 --
2、提出的安全問題得到解決
WebRTC已合并到瀏覽器中。瀏覽器應該是安全的,因為我們的日常辦公室生活很多都發(fā)生在他們面前。為此,所有瀏覽器都有短暫的發(fā)布時間表,范圍從幾周到幾個月,在需要時可以部署安全補丁。除非另有配置,瀏覽器也會自動更新。新的瀏覽器版本將在幾天內被采集并采用。
有兩個方面表明了對安全性的關注 -- IP泄漏問題和模糊測試。
- IP泄漏:幾年來,人們一直抱怨WebRTC在協商過程中共享本地IP地址,這是所有VoIP產品只是為了讓他們的會話連接起來的事情。使用WebRTC這有點棘手,因為該信息通過瀏覽器傳遞,從而可以訪問應用程序和任何加載的擴展,作為流程的一部分。目前正在嘗試使用mDNS地址替換本地IP地址的解決方案。這個過程本身遠非完美,但它正在WebRTC的規(guī)范和實施層面得到解決和處理。
- 模糊測試:Google有一個名為Project Zero的東西,他們讓開發(fā)人員在不同產品中找到零日漏洞。他們最近的嘗試讓他們宣傳了一些iOS問題。對于視頻會議,他們繼續(xù)嘗試使用稱為模糊測試的技術來崩潰和刻錄不同的應用程序。在這個過程中,他們發(fā)現并提交了幾個針對WebRTC的錯誤(后來修復了)。
WebRTC正在認真對待安全問題。可能比大多數其他供應商更多。
3、專有解決方案有他們自己未知的威脅
使用專有解決方案時,您將受到該解決方案開發(fā)人員的支配。潛在威脅比已經知道許多威脅的開放標準更多。
WebRTC開辟了使用瀏覽器和減少通信摩擦的能力,將許多安全問題從供應商轉移到瀏覽器供應商。不使用WebRTC的供應商?他們的解決方案可能會引發(fā)一些有趣的安全挑戰(zhàn)。
Zoom最簡單和最有效的服務最近被發(fā)現存在嚴重的安全問題。
專有解決方案可能是安全的,但除了依賴告訴您的供應商之外,您無法控制或了解該解決方案的實際真實情況。
4、每個人都在使用WebRTC
讓我們從Gartner的2019年UCaaS魔力象限開始:
Gartner UCaaS Magic Quadrant 2019
- Google Meet,Hangouts,Duo和Voice都使用WebRTC
- Microsoft Teams使用WebRTC
- RingCentral在其語音產品中使用WebRTC
- 8×8使用WebRTC。他們從Atlassian收購了Jitsi,Atlassian是一個受歡迎的開源視頻服務提供商。8×8會議已經在使用Jitsi(= WebRTC)
- 思科在Webex中使用WebRTC
- Fuze使用WebRTC
- Dialpad使用WebRTC
- LogMeIn使用WebRTC
- ALE使用WebRTC
- Mitel,StarBlue和Windstream是關于WebRTC使用的唯一未知數
企業(yè)非常適合部署基于WebRTC的服務。所有行業(yè)都是如此,包括金融和醫(yī)療等高度監(jiān)管的行業(yè)。
甚至Zoom,他們不想使用WebRTC,現在在瀏覽器中使用Zoom時,正在使用WebRTC中的數據通道。
WebRTC安全嗎?
下一次潛在的企業(yè)客戶告訴您WebRTC不安全時,只需將其打印出來并請他閱讀。 WebRTC是一種非常適合統(tǒng)一通信,聯絡中心的解決方案 -- 任何用戶需要通過語音或視頻進行通信的系統(tǒng)。
聲明:版權所有 非合作媒體謝絕轉載
作者:Tsahi Levent-Levi
原文網址:https://www.uctoday.com/unified-communications/webrtc-for-the-security-conscious-enterprise/
