Bonnes pratiques pour sécuriser la pile technologique CPaaS

[ad_1]

Comme tout ce qui est connecté au cloud, les solutions CPaaS (Communications Platform-as-a-Service) sont vulnérables au piratage, qui a considérablement augmenté à mesure que les effectifs se sont déplacés vers des modèles distants et hybrides en raison de la pandémie.

cpaas

Pour cette raison et d’autres, une telle plate-forme doit être conçue de manière sécurisée. Cela signifie prendre le temps nécessaire pour examiner et réexaminer le code et la configuration, puis apporter les modifications appropriées avant le déploiement. Plusieurs choses doivent se produire en tandem pour que cela réussisse.

De l’authentification à une API pour les fonctionnalités avancées en passant par la gestion des informations d’identification, il est essentiel d’avoir une compréhension et une connaissance approfondies des meilleures pratiques en matière de protection des données.

Le calcul du risque par rapport au bénéfice est une première étape importante avant d’envisager une solution CPaaS. Il doit également faire partie d’une pratique de sécurité continue après la mise en œuvre étant donné que chaque organisation a un ensemble unique de circonstances et d’exigences qui peuvent changer de manière inattendue. Dès le départ, il est essentiel d’obtenir le plus d’informations possible sur la maturité d’un fournisseur et sa compréhension des processus et des outils qui assurent la sécurité des communications CPaaS. L’entreprise conçoit et met-elle en œuvre son système avec la protection comme principe directeur? Si oui, quels sont ces principes?

Les certifications sont certainement importantes à prendre en compte lors de l’évaluation des options, mais même ainsi, les certifications ne sont pas synonymes de sécurité. Il est recommandé de vérifier la maturité de ces certifications spécifiques aux fournisseurs, car certaines entreprises passent par un processus d’autocertification qui ne garantit pas nécessairement le niveau de sécurité dont votre organisation a besoin. L’envoi d’un questionnaire réfléchi à plusieurs fournisseurs peut être utile pour évaluer la sécurité de ces fournisseurs, offrant un point de vue holistique et spécifique à prendre en compte par l’équipe informatique d’une organisation.

Du côté du client, le personnel interne de la sécurité et de l’ingénierie peut se préparer à la mise en œuvre CPaaS en se familiarisant avec l’utilisation des API et les méthodes d’authentification, les protocoles de communication et les données qui y circulent. Les pirates informatiques effectuent régulièrement des reconnaissances pour trouver des API non protégées et les exploiter.

Une fois que CPaaS est incorporé dans la pile technologique du modèle de travail hybride, il est recommandé pour une organisation de se concentrer sur la gestion de ses points de terminaison. L’utilisation d’un système de gestion centralisée des points de terminaison qui pousse les correctifs pour le BIOS, les systèmes d’exploitation et les applications est nécessaire pour protéger le réseau cloud et les données des clients une fois qu’un ordinateur portable se connecte.

La sécurité VPN doit inclure une fonction de quarantaine qui empêche les ordinateurs portables de se joindre jusqu’à ce qu’ils soient confirmés pour être corrigés et que leur antivirus est toujours en cours d’exécution. De plus, il est nécessaire d’aller plus loin et de vérifier que les utilisateurs finaux ne sont pas des administrateurs sur leurs ordinateurs portables de travail afin que les programmes antivirus continuent de fonctionner et que les attaques virales potentielles soient bloquées.

Après la mise en œuvre du CPaaS, les protocoles de sécurité doivent continuer à être soigneusement examinés et mis à jour chaque année avec les normes technologiques, y compris l’examen de la sécurité de la couche de transport (TLS) pour s’assurer que la suite de chiffrement et les algorithmes utilisés satisfont ou dépassent les exigences en matière de cryptage des données.

Il est de la responsabilité du partenaire CPaaS et de ses équipes de sécurité et de technologie de travailler avec les clients et de porter à leur attention les changements recommandés, tels que le remplacement d’une suite de chiffrement ou d’un algorithme (ou d’une clé de chiffrement qui le prend en charge) pour un circuit particulier pour s’assurer que les normes les plus appropriées et les plus récentes sont en place.

Dans de nombreux cas, le déploiement de la bonne solution CPaaS dans une infrastructure de communication existante peut renforcer la sécurité des données. Voici pourquoi: il met le flux d’appels et les configurations de flux de données entre les mains des utilisateurs professionnels, leur permettant de savoir et de comprendre où se trouvent les flux de données sans avoir à travailler sur de grands projets de mise en œuvre avec des équipes d’ingénierie et à creuser dans plusieurs systèmes hérités.

S’ils essaient de faire le même type de travail via leur propre programmation ou via d’anciennes solutions de réponse vocale interactive (IVR), ces flux de données risquent d’être perdus pour les personnes qui ont le plus besoin de les connaître. En consolidant toutes ces informations sur une seule plate-forme, l’entreprise aide non seulement à comprendre où se trouvent les données et où les données circulent, mais aussi à parler plus intelligemment de la vie privée et de la confidentialité.

Le secteur financier est un secteur qui voit les avantages réels du CPaaS en aidant les clients à activer les cartes de crédit et à définir des codes PIN tout en utilisant simultanément l’IA et la reconnaissance vocale en temps réel pour vérifier les données nécessaires pour prévenir la fraude. De même, dans le secteur de la santé, divers États, comtés et organisations de soins de santé à travers les États-Unis ont été en mesure de lancer rapidement des programmes de vaccination COVID-19 pour la planification et des informations générales via le CPaaS.

Grâce à des invites et des réponses automatisées, les gens peuvent facilement accéder aux informations et obtenir des réponses aux questions sur les vaccins qui, autrement, pourraient nécessiter une conversation longue et complexe avec un professionnel de la santé. Ils peuvent même planifier des rendez-vous en toute sécurité grâce au cryptage en transit et au cryptage au repos, qui n’est devenu une configuration courante dans la téléphonie SIP (Session Initiation Protocol) que ces dernières années.

Pour l’avenir, il y a sans doute encore du travail à faire en matière de sécurité, notamment autour de la gestion des identités, des contrôles d’accès et de l’authentification à deux facteurs. Ceci est particulièrement important en raison de l’imprévisibilité de la sécurité des utilisateurs et des appareils individuels. Il peut y avoir des moyens intelligents d’améliorer les identifiants de personne uniques, comme rendre très facile l’utilisation des clés Secure Shell (SSH).

En plus de permettre la connexion à distance d’un système à un autre, les clés SSH contiennent un cryptage fort, ce qui les rend idéales non seulement pour les tâches associées au cloud computing, mais également pour la sécurisation des effectifs distants.

À l’heure actuelle, seuls les ingénieurs – et très peu d’entre eux – utilisent des clés SSH, qui sont à la base des plates-formes IaaS telles que Google Cloud, Microsoft Azure et AWS. Alors que les objectifs commerciaux changent et évoluent, les clés SSH peuvent jouer un rôle inestimable dans la sécurisation des CPaaS. D’ici là, choisir judicieusement un partenaire CPaaS permettra de s’assurer que les avantages l’emportent largement sur les risques.

[ad_2]

Laisser un commentaire