Cisco에서 Spark Cloud를 Fort Knox로 전환한 방법

Cisco Live에서 Cisco의 Spark 플랫폼을 둘러싼 토론에서 UC의 거물이 비즈니스 메시징 및 팀 협업에 많은 비중을 두고 있음이 상당히 분명합니다. 라스베거스에서 열린 회의에서 저는 Jonathan Rosenberg 및 Jens Megger와 이야기할 수 있을 뿐만 아니라 Spark에 대한 토론과 플랫폼이 다음에 갈 위치에 대해서도 이야기할 기회가 있었습니다. Cisco는 2억 1,500만 고객이라는 방대한 사용자 기반을 활용하여 Spark를 최대한 활용하고 실제로 주류로 밀어넣을 방법을 찾고 있다고 말할 수 있습니다.

Rosenberg는 엔터프라이즈 메시징 기조 연설에서 비즈니스 메시징이 크고 작은 팀을 위한 커뮤니케이션 기술의 다음 큰 변화가 될 것이라고 말했습니다. 이전에는 전화가 필요했고 모든 사무실에는 연락을 유지하기 위한 전화 시스템이 필요했으며(결국 화상 통화도 여기에 포함될 수 있음) 이메일이 등장하자 모든 사람이 즉석 전자 메일함을 채택해야 했습니다. 이제 Rosenberg는 비즈니스 메시징이 이메일을 대신할 것이라고 말했습니다. 표준 스네일 메일이 아직 해결되지 않은 것처럼 이메일이 사라지는 것은 아니지만 팀 협업 플랫폼을 통해 팀이 더 많은 것을 더 빨리 달성할 수 있습니다.

보안이 핵심

그러나 대규모 엔터프라이즈 플레이어가 귀하의 플랫폼을 채택할 것으로 예상할 때 최소한 한 가지 주요 측면을 고려해야 합니다. 바로 보안입니다. 서비스 제공자 자체를 의미하는 경우에도 내부 통신을 스누핑하는 제3자를 원하는 기업은 없습니다. 모든 사람이 플랫폼을 채택하도록 하려면 모든 사람이 플랫폼을 안전하게 사용할 수 있도록 해야 합니다. Cisco는 Spark를 처음부터 구축할 때 모든 상자에 체크 표시를 하려고 노력했습니다. 심지어 Spark의 지상 수준 패브릭에 종단 간 암호화를 설정하기 위해 더 많은 노력을 기울였습니다. 전체 시스템은 보안과 암호화를 염두에 두고 개발되었습니다.

클라우드 서비스의 주요 이점은 플랫폼에 대한 업데이트가 클라우드 서비스 공급자가 배포할 수 있는 만큼 빠르게 발생할 수 있다는 사실입니다. 새로운 기능은 바로 사용할 수 있는 두 번째 단계로 출시될 수 있으며 기존 사용자 기반에 신속하게 푸시될 수 있습니다. 이를 "가치 추가"라고 할 수 있습니다.

시스코의 답변

그러나 대부분의 소비재 제품의 경우 사용자를 희생시키면서 가치를 추가합니다. 일반적으로 사용자 데이터 및 콘텐츠에 대한 전체 액세스 권한이 필요한 서비스는 취약하다고 느낄 수 있습니다. 또는 반대로 보안을 보장하는 잠긴 서비스는 모든 것을 훌륭하고 안전하게 유지하기 위해 이러한 부가 가치 기능을 희생합니다. Slack과 같은 다른 솔루션과 비교할 때 Spark는 높은 수준의 보안과 관련하여 몇 가지 추가 점수를 얻습니다.

Cisco가 Spark로 한 것은 중간에서 균형을 잘 맞추는 것입니다. 기업이 포함하려는 부가가치 통합을 구체적으로 선택할 수 있는 기능을 제공하는 종단 간 암호화. 한 단계 더 나아가 Cisco가 데이터를 차단하는 동안 엔터프라이즈는 원하는 대로 전체 액세스 권한을 가질 수 있습니다.

시스코는 이 시스템이 "암호화 키의 안전한 배포와 데이터 기밀성을 위한 개방형 아키텍처"에 의존한다고 말했다. 이는 본질적으로 콘텐츠가 각 사용자의 클라이언트에서 암호화되고 수신자에게 도달할 때까지 그대로 유지됨을 의미합니다. 기업이 사용자에게 이러한 액세스를 제공하기로 결정하지 않는 한 각 클라이언트 사이에는 암호 해독 키에 대한 액세스 권한이 없습니다.

모든 것이 어떻게 작동합니까?

암호 해독에 대한 액세스를 허용하기 위해 Cisco는 필요한 경우 및 사용자에게 부여된 경우 데이터에 대한 전체 액세스를 제공하는 키 시스템을 도입했습니다. 이 시스템인 KMS(Key Management Server)는 Spark의 종단 간 암호화 기반입니다. 이 서버는 암호화 키를 생성, 저장 및 액세스 권한을 제공합니다. 기본적으로 KMS는 모든 데이터와 파일의 게이트키퍼입니다. 기업에서 설정한 권한에 따라 특정 사용자(IT 개인)만 액세스할 수 있는 반면 Cisco 자체는 귀하의 콘텐츠를 볼 수 없습니다. 각 기업에는 고유한 KMS가 있습니다.

KMS = 키 관리 서버, Cisco Spark Gatekeeper

KMS 자체는 Spark의 핵심 단위와 별개이며 함께 작동하는 자체 "영역"입니다. KMS는 보안 영역에 있지만 나머지는 모두 Spark의 핵심 단위로 레이블이 지정될 수 있습니다. 영역을 분리하여 유지하면 종단 간 암호화가 보장됩니다. 플랫폼의 핵심 요소는 암호화 키에 액세스할 수 없으며 시스템은 KMS에 의존하여 클라우드의 다른 곳에서는 사용되지 않는 액세스 토큰을 인증합니다.

Cisco가 말했듯이 이는 "암호화 키에 대한 적절한 액세스를 보장하는 동시에 KMS가 저장한 통신이나 키에 핵심 서비스 구성 요소가 액세스할 수 없도록 보장합니다."

최종 사용자에게 완전한 제어를 제공하기 위한 또 다른 단계에서 Cisco는 보안 영역을 호스팅 솔루션으로 선택할 수도 있습니다. 그러면 Cisco에서 모든 무거운 작업을 처리할 수 있습니다. 모든 것을 잠그십시오. 호스팅 솔루션을 사용하면 Security Realm의 모든 서비스가 별도의 인프라에 있는 별도의 테넌트에 위치하고 운영됩니다. 온프레미스에서 결정하는 것은 기업의 몫입니다.

실행 중인 프로세스

간단히 말해서 사용자가 Spark 룸에 메시지를 보내려고 할 때 해당 사용자의 클라이언트의 첫 번째 단계는 클라이언트와 KMS 간에 보안 채널을 설정하는 것입니다. 이 단계에서는 클라이언트와 KMS 간의 인증 프로세스가 필요하므로 Cisco 또는 제3자가 전송 중인 정보를 보거나 수정할 수 없습니다. 인증 프로세스 후 클라이언트는 설정된 채널을 사용하여 다른 클라이언트로 보낼 콘텐츠를 암호화하는 데 필요한 새 암호화 키를 요청합니다.

메시지가 작성된 후 클라이언트는 대화 키로 메시지를 암호화하고 대상 Spark 방의 방 ID로 레이블을 지정하고 코어로 보냅니다. 그런 다음 코어는 암호화된 메시지를 수신하고 보안 영역과 별도로 유지되므로 해당 메시지를 해독하는 데 필요한 대화 키에 액세스할 수 없습니다. 코어는 수신자를 찾고 암호화된 메시지를 수신실로 보내지만 수신실과 연결된 데이터베이스에도 메시지를 저장합니다.

이제 프로세스가 반대로 진행되고 수신 클라이언트는 암호화된 메시지를 받고 KMS에 연락하여 메시지를 해독하는 데 필요한 키를 얻습니다. KMS는 두 사용자를 인증하여 메시지를 여는 데 필요한 권한을 확인하고 클라이언트가 메시지의 압축을 풀고 읽을 수 있도록 대화 키를 받는 사람에게 배포합니다.

모든 것이 암호화된 경우 검색은 어떻게 작동합니까?

Core 자체는 전송 중인 콘텐츠를 전혀 볼 수 없으므로 클라우드 서비스 자체를 통한 간단한 메시지 검색을 허용할 수 없습니다. 이에 대응하기 위해 Cisco는 매우 독특한 것을 생각해 냈습니다. 바로 Security Realm에 Indexer 구성 요소를 내장한 것입니다. KMS와 마찬가지로 인덱서는 Core와 완전히 분리되어 있지만 KMS에 매우 가깝습니다. 기본적으로 인덱서는 KMS 내에서 검색 인덱스를 작성하고 쿼리합니다. 이렇게 하면 모든 것이 암호화된 상태로 유지되지만 검색이 가능합니다.

인덱서는 실제로 엔터프라이즈 정책에 따라 모든 방에 초대되는 Spark 봇입니다. 사용자가 메시지를 보낼 때마다 인덱서는 암호화된 콘텐츠의 복사본을 수신합니다. 클라이언트와 마찬가지로 KMS와 대화하여 메시지를 여는 데 필요한 대화 키에 액세스합니다. 인덱서는 전송된 메시지 내의 각 단어에 하나의 인증 방식인 해시를 적용하고 메시지가 수신된 특정 방에 속하는 모든 해시된 단어 목록을 준수합니다.

인덱서는 메시지가 암호화를 되돌릴 수 없도록 하기 위해 임의의 단어를 추가할 만큼 충분히 영리합니다. 그런 다음 해시 목록이 Spark Cloud로 전송되고 암호화된 상태에서 검색 인덱스 내에 저장됩니다. 이제 검색 가능하고 완전히 암호화된 인덱스가 있습니다.

두 세계의 최고

Cisco는 가장 편집증적인 기업도 Spark Cloud 플랫폼을 통해 데이터와 파일을 안전하게 보낼 수 있도록 마음의 평화를 제공하고 싶었습니다. 다른 소비자 응용 프로그램은 서비스 자체에서 데이터에 대한 액세스를 허용하거나 의존할 수도 있습니다. Spark 개발에 깊이 뿌리를 둔 종단 간 암호화와 자체 보안 영역을 호스팅하고 고유한 매개변수 및 프로비저닝을 설정하는 기능을 통해 Fort Knox of Business Messaging 및 Team Collaboration을 갖게 됩니다.