3 façons de réorganiser les modèles d’architecture de sécurité de la plate-forme UC

L’explosion du nombre de télétravailleurs alimentée par la pandémie de COVID-19 a contraint les organisations à reconsidérer leurs plans d’architecture de sécurité pour les plates-formes UC afin de protéger les communications professionnelles sensibles. Avant 2020, les communications unifiées et la collaboration se concentraient largement sur la sécurité basée sur le périmètre pour protéger les communications professionnelles sensibles contre les attaques. Bien que cet outil reste important, il ne fait rien pour protéger les flux de données UC conduits en dehors du périmètre sécurisé du LAN de l’entreprise.

Cette astuce fournit des conseils pour identifier les failles de sécurité UC distribuées natives des plates-formes UC sur site. Il fournit également des informations pour aider les responsables informatiques à identifier des options d’architecture de sécurité UC plus efficaces et illustre le moment opportun pour évaluer si un tiers est nécessaire pour étendre les capacités de sécurité.

Télétravailleurs, quel est le problème ?

Les grandes entreprises – en particulier celles qui gèrent des centres de contact client – ont dû transformer considérablement leurs plates-formes internes de communications unifiées et de collaboration pour permettre à un grand nombre d’employés et d’agents de travailler à distance. Étant donné que la plupart des entreprises avaient réalisé des investissements importants dans les plates-formes UC existantes, elles ont rapidement constaté que la migration vers des outils UC basés sur le cloud n’était souvent pas une option. Les architectes devaient donc travailler avec ce qu’ils avaient, même si cela signifiait que la sécurité passait au second plan.

Lorsque les concepteurs de communications unifiées avaient du mal à fournir un accès à ces utilisateurs, ils s’appuyaient souvent sur les services VPN hérités pour canaliser facilement le trafic vocal et de collaboration du bureau distant vers le réseau local de l’entreprise. Les employés pouvaient alors utiliser leur propre matériel informatique pour accéder aux services vocaux, de collaboration et de centre de contact depuis leur domicile. Malheureusement, alors que ce modèle architectural fonctionnait, il ouvrait la porte à une multitude de vulnérabilités de sécurité liées au VPN qui pourraient conduire à un accès non autorisé et à la perte ou au vol de données.

Le passage rapide aux travailleurs à distance a également soulevé un autre problème troublant : la gestion des contrôleurs de session aux frontières (SBC) a accru l’exposition à Internet. Les serveurs SBC sont généralement déployés dans une zone démilitarisée sécurisée, et il arrive souvent que peu de travail soit fait pour protéger le flux latéral de données entre les appareils au sein d’un réseau DMZ plat. Par conséquent, si un serveur SBC est compromis, les attaquants peuvent se déplacer latéralement au sein du réseau pour tenter d’attaquer d’autres systèmes et applications.

Options de sécurité UC modernes dans un monde post-COVID-19

Une infrastructure de bureau virtuel (VDI) est un moyen de remédier aux vulnérabilités trouvées dans les VPN traditionnels et dans les appareils personnels utilisés pour se connecter aux services UC professionnels. Les plates-formes VDI peuvent acheminer le trafic sur Internet en toute sécurité à l’aide de techniques de cybersécurité et de cryptage largement transparentes pour l’utilisateur final. Et puisque les postes de travail virtuels sont autonomes, ce modèle d’architecture de sécurité de plate-forme UC élimine tout problème lié à l’utilisation d’appareils personnels pour accéder aux services UC.

Une autre technique à considérer est la micro-segmentation, qui protège les services UC, y compris les SBC, qui sont exposés à Internet. La micro-segmentation limite la communication latérale dans la DMZ et le centre de données, réduisant la surface d’attaque d’une organisation et réduisant considérablement le risque global de cybersécurité.

Enfin, de nombreuses organisations explorent des fournisseurs tiers Secure Access Service Edge (SASE) pour mieux protéger les applications UC et de centre de contact sensibles à la latence. SASE rapproche les fonctions de sécurité du réseau des utilisateurs finaux, en leur donnant un accès direct aux pare-feux distribués des couches 4 à 7, aux systèmes de détection et de protection contre les intrusions, au sandboxing du réseau et à d’autres fonctions clés. Plus important encore, ces fonctionnalités sont conçues pour protéger les communications unifiées sans les alourdir par une latence excessive.

Leave a Comment