¶ Введение
Архитектура DION предусматривает возможность переноса части сервисов, отвечающих за обработку медиатрафика, на площадку организации. Остальные сервисы продолжают работать в облаке DION. Это позволяет отвечать повышенным требованиям информационной безопасности и экономить локальные ресурсы по сравнению с полной установкой on-premises. Сервисы, установленные локально, называются гибридными нодами.
В гибридном сценарии связь гибридных узлов с облаком DION является обязательным условием для работы конференций, так как в облако передаются сигнальная информация и управляющие команды.
Все гибридные компоненты, доступные к установке, можно разделить на группы по функциональному назначению:
- служебные: dion-proxy необходим для всех задач
- проведение конференций внутри контура
- создание записей конференций внутри контура
- SIP-звонки внутри контура
- видеопортал DION.Video с хранением видео внутри контура
- компонент DION.Чаты с локальным модулем шифрования данных
¶ Конференции
При наличии гибридных узлов можно выбирать, на каких медиасерверах будет проводиться конференция: в облаке или локально. Можно принудительно проводить локально все конференции, либо разрешить пользователю выбор из интерфейса личного кабинета.
При проведении конференций в гибриде медиатрафик конференции не покидает сеть организации и не проходит через облако DION. В облако отправляются только управляющие команды от сервисов и от пользователей, которые не содержат конфиденциальную информацию.
¶ Запись
Гибридные конференции являются конфиденциальными и не могут быть записаны при помощи облачных сервисов записи. Облачные сервисы записи обрабатывают медиатрафик конференций в облаке, что недопустимо с точки зрения информационной безопасности. Поэтому для записи гибридных конференций необходимо развернуть гибридные сервисы записи.
Все записи, созданные локально, сохраняются на локальном хранилище S3 и недоступны на облачном портале DION Video. Пользователь может скачать запись по ссылке.
.jpg)
¶ SIP-звонки внутри контура
Если компоненты SIP не развернуты в гибридном варианте, как описано в данном руководстве, все SIP звонки, включая звонки с устройств, расположенных в контуре компании, проходят через облако. При этом медиа трафик от SIP-устройств не шифруется. Этот вариант полностью поддерживается со стороны DION, но не всегда удовлетворяет требованиям информационной безопасности.
При наличии гибридных узлов SIP-трафик звонков в гибридные конференции замыкается внутри контура безопасности компании. Трафик в сторону облачных конференций DION передается в защищенном канале по протоколу SRTP, что исключает угрозу перехвата трафика.
Кроме того, наличие гибридного SIP позволяет совершать вызовы в облачные конференции DION даже при отсутствии в SIP-инфраструктуре компании элемента, выполняющего роль SBC (Session Border Controller), либо устройства NAT с поддержкой SIP ALG.
¶ Видеопортал DION.Video
При развертывании DION.Video в гибридном варианте появляется локальный экземпляр видеопортала. Все загружаемые туда видео файлы хранятся в локальном S3-хранилище. На портале также доступны записи гибридных конференций, если развернуты сервисы записи. Весь облачный контент можно посмотреть на локальном портале, но не наоборот.
Для направления локальных пользователей на локальный видеопортал, необходимо прописать соответствующие имена на корпоративном DNS-сервере.
В гибридном варианте реализации видеопортала все сопроводительные данные к видеофайлам, каналам и плейлистам, такие как название, описание, комментарии, таймкоды, хранятся в базе данных на стороне облачного DION. Сами видео файлы — в локальном S3. При этом перед отправкой в облако вся информация шифруется ключом, который генерируется на основе информации из KMS (на данный момент поддерживается сервис HashiCorp Vault) на стороне компании. Перед шифрованием данных все пользовательские запросы в облако могут быть перенаправлены на DLP компании.
¶ Компонент DION.Чаты
Гибридная схема размещения предполагает, что компонент DION.Чаты разворачивается таким образом, что часть его функциональных возможностей находится в облаке под централизованным управлением, а другая часть, связанная с шифрованием конфиденциальной информации, разворачивается на локально (сервис dion-crypto-engine). Это позволяет ограничить доступ к конфиденциальной информации в чатах и минимизировать ресурсы локальной инфраструктуры за счет хранения сообщений и вложений в них в облаке.
Пользователь отправляет сообщение, зашифрованное сессионным ключом, выработанным dion-crypto-engine в контуре организации. Затем данные отправляются в сервис dion-crypto-engine, где они перешифровываются с использованием постоянного ключа, который хранится в конфигурации сервиса. Перешифрованные данные пересылаются в облако для хранения. Хранение данных, зашифрованным локальным постоянным ключом, ведется в облаке.
