その他のシスコ コール センター アプリケーション
次のセクションでは、他のシスコ コール センター アプリケーションのセキュリティに関する検討事項について説明します。
Cisco Unified ICM ルータ
dbagent.acl ファイルは、内部のバックグラウンドファイルです。このファイルを編集しないでください。ただし、このファイルには読み取りアクセス許可が設定されている必要があります。このファイルを使用すると、ユーザがルータのリアルタイムフィードに接続できます。
周辺機器ゲートウェイ(PG)とエージェントログイン
誤ったパスワードを使用した Unified CCE エージェントログイン試行にはレート制限があります。デフォルトでは、エージェントアカウントは、15 分間で間違ったパスワード試行が 3 回行われると、15 分間無効になります。
このデフォルトは、レジストリキーを使用して変更できます。このレジストリキーは、次の下にあります。HKLM\SOFTWARE\Cisco Systems, Inc.\\ICM\<inst>\PG(n)[A/B]\PG\CurrentVersion\PIMS\pim(n)\EAGENTData\Dynamic
レジストリキーには、次のものが含まれます。
-
AccountLockoutDuration: デフォルト
ログイン試行が失敗してアカウントがロックアウトされた場合、この値はアカウントがあと何分間ロックアウトされたままかを表します。
-
AccountLockoutResetCountDuration: デフォルトは 15 です。AccountLockoutThreshold 回数が 0 に戻るまでの時間(分)。これは、アカウントがロックアウトされずに、AccountLockoutThreshold で説明されている値よりも少ないログイン試行が失敗した場合に適用されます。
-
AccountLockoutThreshold: デフォルトは 3 です。これは、アカウントがロックアウトされた後のログイン試行が失敗した回数です。
(注)
これらの設定は、システム周辺機器ゲートウェイを備える CTI OS など、Cisco Finesse 以外のデスクトップソリューションにのみ適用されます。
エージェントまたはスーパーバイザがパスワードを誤って 5 回連続してデスクトップにログインしようとした場合、Finesse はユーザアカウントへのアクセスをブロックします。ロックアウトの時間は 5 分間です。これらの設定の詳細については、https://www.cisco.com/c/en/us/support/customer-collaboration/finesse/products-maintenance-guides-list.html にある 『Cisco Finesse アドミニストレーション ガイド』を参照してください。
エンドポイントセキュリティ
エージェントのデスクトップ(Agent Desktops)
Cisco Finesse は、管理コンソールおよびエージェントおよびスーパーバイザクライアントで HTTPS(TLS 1.2 のみ)をサポートします。
Unified IP Phone デバイスの認証
Contact Center Enterprise ソリューションを設計する際、Cisco Unified IP Phone 向けにデバイス認証を実装できます。Contact Center Enterprise ソリューションは、以下を保証する Unified Communications Manager の 認証済みデバイスセキュリティモードをサポートしています。
-
デバイス ID — X.509 証明書を使用した相互認証
-
シグナリングインテグリティ — HMAC-SHA-1 を使用して認証された SIP メッセージ
-
シグナリングプライバシー — AES-128-CBC を使用して暗号化された SIP メッセージコンテンツ
メディア暗号化(SRTP)の考慮事項
展開で SRTP を有効にする前に以下を考慮してください。
-
エージェントレグで安全なメディアを使用するには、インストール済みの IP 電話が SRTP と互換性があることを確認してください。
-
仮想化音声ブラウザは、VRU レグの SRTP をサポートします。
-
IOS VXML ゲートウェイは SRTP をサポートしません。
-
モバイルエージェントは SRTP を使用できません。
-
Cisco アウトバウンドオプション ダイヤラは SRTP をサポートしません。コールがダイヤラに接続されている間、コールは SRTP を使用できません。ただし、コールがダイヤラに接続されなくなると SRTP とネゴシエートできます。
IP Phone の強化
Unified CM の IP Phone デバイス構成では、特定の電話機の機能を無効にすることで電話機を強化できます。たとえば、電話機の PC ポートを無効にしたり、PC による音声 VLAN へのアクセスを制限できます。これら設定の一部を変更すると、Contact Center Enterprise ソリューションの監視機能や録音機能が無効になります。設定は次のように定義されています。
-
PC 音声 VLAN アクセス — PC ポートに接続されているデバイスを音声 VLAN にアクセスさせるかどうかを電話機が許可しているかを示します。ボイス VLAN アクセスを無効にすると、接続されている PC でボイス VLAN 上のデータを送受信できなくなります。また、電話によって送受信されたデータを PC で受信することもできなくなります。この機能を無効にすると、デスクトップベースの監視と録音が無効されます。
この設定は有効(デフォルト)です。
-
PC ポートへのスパン — 電話機が電話機ポートから PC ポートへ送受信されたパケットを転送するかどうかを示します。この機能を使用するには、PC 音声 VLAN アクセスを有効にします。この機能を無効にすると、デスクトップベースの監視と録音が無効されます。
この設定は有効です。
次の設定を無効にすることで、中間者攻撃(MITM)を防ぎます。一部のサードパーティ製のモニタリングおよび録音アプリケーションでは、このメカニズムを音声ストリームのキャプチャに使用します。
-
無償 ARP — 無償 ARP 応答から、電話機が MAC アドレスを学習するかどうかを示します。
この設定は無効です。
リバースプロキシ展開のセキュリティガイドライン
VPN を使用しないアクセスを許可するには、リバースプロキシホストにインターネットから直接アクセスできる必要があります。したがって、セキュリティはリバースプロキシ導入では非常に重要であり、ネットワークセキュリティを維持および管理するには、細心の注意が必要です。このセクションでは、リバースプロキシ導入を保護するための一連のガイドラインを提供します。
(注) |
提供されるガイドラインと推奨事項は、管理者が導入を安全に行なうために必要な最小限のガイダンスとして使用することを目的としています。リバースプロキシとネットワークの導入、設定、およびセキュリティの責任は、コンタクトセンターにあります。 |
リバースプロキシ
通常、リバースプロキシは、インターネットからコンタクト センター ネットワークに入るすべての要求で最初のアプリケーションレベルの着陸ポイントになります。リバースプロキシには、攻撃に耐え得る高いレベルのセキュリティが必要です。次に、リバースプロキシ導入を保護するためのガイドラインを示します。
-
TLS 1.2 を設定し、他の TLS プロトコルをオフにします。
-
セキュアな HTTP/2 ベースのアクセスのみを許可します。
-
プロキシへの予定外のアクセスが提供されないよう、プロキシのデフォルトアクセスとデフォルトルールをオフにします。
-
リバースプロキシとホストシステムがセキュリティパッチを使用して最新の情報を入手し、侵害の可能性を防ぐことを確認します。
-
リバースプロキシがインターネットへの直接のアウトバウンド接続を確立できないことを確認します。
-
インターネットにさらされた場合、プロキシホストの安全性を確保するために、セキュリティを強化します。ベストプラクティスについては、https://www.cisecurity.org/cis-benchmarks/ を参照してください。
-
リバースプロキシホストで定期的にセキュリティテストを実施し、セキュリティが侵害されていないかを確認します。
-
セキュリティ上の理由から、明示的に公開されている以外の API パスは、設定されたルールで使用できないことを確認します。Nginx リバースプロキシが導入されている場合は、「Nginx Techzone」の項目にある Nginx ルールを参照して、各 Finesse、IdS、および CUIC サーバに対して明示的に開いているパスを見つけることができます。
-
セキュリティの観点からキャッシュが重要なのは、ほとんどの静的リソースは保護されていないためです。Finesse サーバ上でこれらのリソースをキャッシュすることで、簡易 DoS 攻撃を回避できます。ただし、リソースが最新の動作を行なえるよう、Finesse、IdS、および CUIC サーバでリソースを定期的に検証する必要があります。
-
HOST ヘッダーを検証して、目的のドメインだけがクライアントによってアクセスされるのを確認します。
-
必要な数のクライアントに対応するドメインごとに、Finesse、IdS、および CUIC サーバの Websocket 接続を調整します。
-
ベストプラクティスは、更新されたパッチと設定変更で、リバースプロキシのセキュリティが強化された金色のイメージを維持することです。これらの金色のイメージからインストールすると、すべてのリバース プロキシ インスタンスに一貫性があり、可能な限り安全になります。
(注) |
シスコは、Nginx のリバースプロキシに関するセキュアな設定ガイドラインを 「Nginx Techzone」の項目で説明しています。 |
非武装地帯のセキュリティ
ネットワークとホストのセキュリティを更新するための継続的なプロセスと関連する取り組みがない場合は、リバースプロキシの導入では、セキュリティの強化を維持できません。DMZ がセキュアな環境を確保するための重要な点は次のとおりです。
-
(複数のインターフェイスを備える単一のファイアウォールではなく)デュアル ファイアウォールを使用して、DMZ と内部ネットワークを分離することを検討してください。
-
内部ファイアウォールでルールを設定し、DMZ から発生した要求が、リバースプロキシで設定されているホスト以外のホストに到達しないことを確認します。
-
DMZ が、ルーティングとセキュリティポリシーが分離された内部ネットワークから分離されている必要があります。
-
リバースプロキシ導入のセキュリティは、構成とソフトウェアを更新し続けるプロセスによって異なります。
レート制限
Finesse、IdS、および CUIC は、DoS 攻撃から保護するためにホストレベルのファイアウォールルールに依存します。これらのコンポーネントでリバースプロキシホストが設定されている場合、設定されたリバースプロキシホストは、すべてのホストレベルのレート制限ルールから免除されます。これは、プロキシに接続された複数のクライアントにサービスを提供するプロキシの必須のスループットをサポートするためにあります。したがって、逆プロキシを介してホストにルーティングされるトラフィックが個々の IP ごとに規制対象になじむよう、パケットレートの制限とレート制限要求(使用可能な場合)を適用する必要があります。これにより、リバースプロキシとホストの可用性が向上します。
(注) |
ネットワークを DMZ に接続する ISP ルータでは、一般的なネットワークパケットレートの制限を課すことを検討してください。周囲のルータにレート制限を実装すると、ISP リンクを飽和状態にすることを目的とした DoS 攻撃には効果的ではありません。 |
レートの制限の計算の詳細については、『Cisco Unified Contact Center Enterprise Features Guide』の「プロキシの規模とハードウェアの検討」セクション、および Nginx 固有の情報については「Nginx Techzone」の項目を参照してください。
ネットワーク セキュリティ デバイス
DMZ に入るトラフィックに対してセキュリティを強化するために、この侵入防御システム(IPS)機能を組み込むネットワーク セキュリティ デバイスを導入する必要があります。これらは、プロキシまたはファイアウォールが効果的に検出または防止する機能を備えしていないクラス全体の攻撃を防ぐためのデバイスです。IPS デバイスの導入中は、分散型サービス妨害(DDoS)署名を検出できるデバイスを導入し、DDoS 攻撃から保護します。
Web アプリケーションのファイアウォール
リバースプロキシ展開に対してより高いセキュリティ層を提供する Web Application Firewall(WAF)を導入すると良いでしょう。WAF デバイスは、セキュリティチェックをアプリケーション層に拡張します。これは、Web アプリケーション トラフィックでスクリプト、ヘッダー、Cookie、HTTP メソッドなどについて検査し、既知の脆弱性や、不正なトラフィックをブロックするループホールを見つけた場合に実現します。これにより、Web アプリケーションに固有の脆弱性を利用する複雑なサイバー攻撃が回避されます。IPS と WAF の機能を統合するデバイスや、上述のすべての機能を提供するクラウドサービスを使用するデバイスを用意することができます。
推奨される DDoS 保護
複数のクライアントを使用して DoS 攻撃を開始することでレート制限を超える複雑な攻撃は、DDoS 攻撃と呼ばれます。個々のシステムが、DDoS 攻撃を検出したり、適切に反応したりできない場合が多く発生します。このような攻撃を回避するには、適切なレート制限を適用することによってトラフィックが規制されていることを確認します。
DDoS 攻撃を処理する最も効果的な方法の 1 つは、コンテンツ配信ネットワーク(CDN)を利用することによって、ほとんどの攻撃に対して高いレベルの保護を提供し、これらの総当たり攻撃の衝撃を吸収することです。DDoS 署名を検出できる IPS デバイス、ルータ、またはファイアウォールを組み込むことも、このような攻撃を防ぐのに役立ちます。