Proteja su aplicación

Siga estas prácticas recomendadas para mantener la seguridad en su aplicación.

Vonage reconoce que la seguridad es una consideración esencial para cualquier empresa interesada en integrar comunicaciones en tiempo real en su sitio web, aplicación o servicio. La plataforma de Vonage es una plataforma fiable y segura sobre la que puedes crear aplicaciones que satisfagan las necesidades de seguridad de tu empresa, sector o cliente.

Preguntas frecuentes sobre seguridad

¿Está cifrado el tráfico de voz y vídeo en una sesión WebRTC?

Sí, todo el tráfico de medios está encriptado sin importar el punto final que uses (web o móvil) o la configuración de sesión que elijas (P2P o multipartita). Eso significa que estás seguro cuando usas la solución de Vonage, incluso si la usas en un punto de acceso público abierto.

Además, en las aplicaciones web, la publicación sólo se admite en páginas HTTPS.

¿Se basa en una solución patentada?

No, no creemos en soluciones propietarias cuando hablamos de seguridad. Vonage se basa completamente en estándares comprobados, escritos por expertos de la industria y utilizados durante años en productos comerciales. Los protocolos centrales que proporcionan la seguridad de WebRTC Vonage son SRTP para el cifrado del tráfico multimedia y DTLS-SRTP para la negociación de claves, que están definidos por el IETF.

¿Cuáles son los algoritmos de cifrado y la fuerza de las claves utilizadas?

Los puntos finales compatibles con Vonage WebRTC utilizan el cifrado AES con claves de 128 bits para cifrar audio y video, y HMAC-SHA1 para verificar la integridad de los datos.

El cifrado AES-256 está disponible en los clientes compatibles para como un función adicional.

¿Qué claves se utilizan para el cifrado?

Los puntos finales generan claves aleatorias al inicio de la sesión y además cambian periódicamente durante la conversación para hacerla aún más segura.

¿Requiere alguna interacción con el usuario?

No, todo sucede bajo el capó sin ninguna interacción con el usuario.

¿Requiere algún cambio en mis aplicaciones basadas en Vonage?

No, la API de Vonage no cambia. La API de Vonage no expone estos detalles de bajo nivel a los desarrolladores.

¿Influye en el ancho de banda y la calidad de la videoconferencia?

Sí, pero muy poco. Aumenta la longitud de cada paquete de audio y vídeo en 8 bytes, pero eso es menos del 1% del bitrate típico de una sesión. En cuanto al retardo, el marco de cifrado SRTP se diseñó específicamente para aplicaciones en tiempo real, y el impacto no se nota en absoluto.

¿Influye en el consumo de la CPU o de la batería?

Sí, pero el coste de codificar y descodificar audio y vídeo es mucho mayor que el de codificar y descodificar.

Buenas prácticas de seguridad

Ya sea que seas nuevo en la plataforma de Vonage o tengas años de experiencia, aquí te presentamos un útil conjunto de mejores prácticas que puedes emplear al desarrollar con Vonage para ayudarte a crear una aplicación segura.

Servir contenidos mediante URL HTTPS

En las aplicaciones web, la publicación de vídeo sólo se admite en páginas HTTPS.

Información personal

Mantenga la clave y el secreto de la API de forma privada y segura

La clave y el secreto de la API se utilizan para crear tokens que conceden acceso a las sesiones, recuperar metadatos de archivo y cambiar las credenciales de almacenamiento de archivos, así como otras operaciones administrativas de su cuenta.

Para evitar poner en peligro sus credenciales, siempre debe mantener el secreto de su API en privado. Algunas medidas clave que puede tomar:

• Nunca guarde el secreto de la API en ningún repositorio público de código fuente.
• Nunca guardes el secreto de la API en ninguna librería del lado del cliente, ni siquiera en SDKs móviles compilados.
• Utiliza sólo URL HTTPS para realizar llamadas REST a los servidores de Vonage.

Generar un identificador de sesión único por llamada y token por participante

Para iniciar una llamada es necesario generar un identificador de sesión. Los tokens que permiten a los participantes unirse son exclusivos de un ID de sesión. Los tokens tienen una caducidad, pero puede ser superior a la duración de la llamada. Por lo tanto, si tiene reuniones consecutivas utilizando el mismo ID de sesión, es posible que los usuarios anteriores aún puedan conectarse a la nueva reunión.

Para evitarlo:

• Generar un ID de sesión único para cada nueva reunión
• Generar un token único para cada participante de esa reunión.

Véase este tema sobre cómo crear sesiones. Véase este tema sobre cómo generar fichas.

Asegúrese de que el servidor que genera el testigo está detrás de un punto final autenticado.

Es importante colocar el servidor que genera el token detrás de un endpoint autenticado porque cualquiera con acceso a ese servidor podría acabar generando nuevos tokens y podría hacer un mal uso de la app.

No utilice información personal en los datos simbólicos.

Los datos del token son una cadena que contiene metadatos que describen la conexión. Sin embargo, estos datos se pasan a todos los usuarios de la sesión y también se pueden leer a través de los registros del cliente. Esto significa que nunca debes utilizar información sensible o personal sin cifrar en los datos del token. Véase este tema sobre cómo añadir datos a sus fichas

Modo retransmitido frente a modo enrutado

Cifrado de medios de extremo a extremo

Durante una sesión enrutada, las secuencias multimedia se descifran temporalmente mientras se encuentran en los servidores en nube de la Plataforma de vídeo y, a continuación, se vuelven a cifrar inmediatamente antes de ser enviadas a través de Internet al cliente suscrito, a menos que utilice la función cifrado de extremo a extremo función. Este descifrado es necesario para gestionar las sesiones de grupo, el control de calidad inteligente y las funciones que requieren descifrado de medios, como el archivado, las emisiones en directo, el compositor de experiencias, el conector de audio y la interconexión SIP (si se utiliza). Al utilizar sesiones enrutadas, sus flujos de medios nunca se transmiten sin cifrar en la Internet abierta.

Puede utilizar cifrado de extremo a extremo para evitar que el Enrutador de Medios tenga acceso a los medios en una sesión enrutada. Cuando se utiliza el cifrado de extremo a extremo, las funciones que requieren la descodificación de medios (como el archivado, etc.) no son compatibles.

Además, si su aplicación requiere un cifrado ininterrumpido de extremo a extremo de todos los medios, puede optar por utilizar sesiones retransmitidas. Ten en cuenta que no podrás utilizar funciones que requieran descodificación de medios (como archivado, etc.), y que el rendimiento no se gestionará tan bien en redes con poco ancho de banda/alta pérdida de paquetes o con grupos.

Archivo

Vonage ofrece varias maneras de garantizar la seguridad de tus sesiones archivadas.

Diferentes niveles de seguridad de los archivos

Puedes proteger tus archivos de las siguientes maneras:

• Utiliza el cifrado de Vonage - Con el archivado cifrado, los datos de video y audio de un archivo se cifran mediante un certificado de clave pública que le proporcionas a Vonage. Esto te permite crear archivos donde los datos nunca están en reposo sin encriptar. De los métodos disponibles para proteger tus archivos, éste es el que ofrece el mayor nivel de seguridad. Está disponible como función adicional. Para más información, consulte el Cifrado de Vonage documentación.

Gestionar la eliminación de archivos

Un archivo cargado correctamente en su almacenamiento se eliminará automáticamente del servidor de archivo en el momento de la carga.

En caso de que no se pueda cargar, se proporciona almacenamiento como opción alternativa por defecto. Esto significa que el archivo se almacenará durante 72 horas en el servidor.

Recibirá una alerta por correo electrónico por cada archivo que no llegue a su almacén. A continuación, puede utilizar la API REST para descargar el archivo desde la URL del archivo.

Después de la descarga, puede optar por eliminar inmediatamente el archivo para evitar que permanezca en el almacenamiento durante el resto del periodo de espera.

Para evitar este almacenamiento alternativo, inicie sesión en su Cuenta Video APIseleccione el proyecto y active la opción para desactivar el almacenamiento de archivos.

Véase el Documentos API para obtener más información sobre cómo eliminar un archivo.

Controla quién puede empezar a archivar

Sólo se puede archivar una sesión utilizando la API REST. Para controlar quién puede iniciar el archivo, puede decidir mediante programación qué vista de la aplicación incluye la opción de iniciar el archivo. Aquellos no autorizados tendrían una vista limitada sin opción de archivar.

Además de autenticar a tus propios usuarios, también debes considerar una estrategia de autorización. Una vez que sepas quién es un usuario (autenticación) y que, de hecho, tiene permiso para iniciar un archivo (autorización), habrás reducido el riesgo de que cualquier usuario no intencionado provoque la grabación de archivos.

Garantizar un conjunto mínimo de privilegios

El conjunto mínimo de permisos necesarios para cargar archivos en nuestro almacén se trata en este tema.

Los socios no deben proporcionar ningún permiso adicional para las credenciales que almacenan con Vonage.

Alertas y controles

Limitar el número máximo de usuarios en una sesión

Para tener más control sobre el número de personas en una sesión, tu aplicación debería limitar el número máximo de usuarios en una sesión. Esto podría ser útil si intentas limitar el uso.

Visualizar el recuento de abonados

También puede configurar un recuento de suscriptores para mostrarlo en su aplicación. Esta es una forma útil de saber cuándo una conexión se está suscribiendo pero no publicando.

Configurar los permisos del Moderador para forzar la desconexión

La plataforma de Vonage ofrece la capacidad de eliminar a un usuario de una sesión. Por ejemplo, en caso de violación de los términos de servicios, puedes habilitar al moderador de la sesión para que elimine de la sesión al participante infractor mediante la desconexión forzada o la despublicación forzada. Véase este tema para más información.

Asignar permisos de sólo abonado a quienes no necesiten publicar

En algunos casos, es posible que desee limitar el número de personas que pueden publicar en una sesión. Esto se consigue no extendiendo los permisos de publicación a todos los participantes.

Véase este tema para generar fichas con los roles adecuados.

Restringir el tráfico a servidores regionales

Puede utilizar la función Zonas regionales de medios de comunicación para enrutar todos los flujos de medios a servidores de medios dentro de una georregión especificada.

Además de restringir el tráfico multimedia, puede utilizar la función Representante de la UE para restringir sin medios de comunicación para utilizar servidores dentro de la Unión Europea.

Capa de seguridad y transporte

Cifrado TLS

La Video API de Vonage ahora es compatible con TLS 1.3 y TLS 1.2 para todas las comunicaciones de la API, lo que brinda mayor seguridad y rendimiento para tus sesiones de video. Esta actualización garantiza la compatibilidad con los estándares de encriptación modernos y protege tus datos en tránsito.

Beneficios clave:

• Seguridad reforzada: Algoritmos criptográficos más potentes y secreto de transmisión mejorado con TLS 1.3
• Mejor rendimiento: Reducción de la latencia de la conexión gracias a la agilización del proceso de establecimiento de la conexión.
• Negociación automática: Los clientes utilizan automáticamente la versión TLS más alta admitida

Todas las conexiones de punto final de API están protegidas con TLS por defecto. No es necesario realizar cambios en el código, ya que los SDK y los clientes HTTP modernos preferirán automáticamente la versión TLS más reciente (TLS 1.3 o 1.2). Sin embargo, es aconsejable utilizar siempre las últimas versiones del SDK para beneficiarse de las últimas mejoras de seguridad y rendimiento.