简介

本文提供了 Agora 的信息安全说明。

../_images/security.png

目的

致力于保障 Agora 所接触到的客户物理和电子信息资产的保密性、完整性和可用性。

范围

本信息安全说明书主要阐述 Agora 如何进行信息管理,以保护客户数据安全。

  • 保密性: 防止未经授权的访问和窃听

  • 完整性: 防止篡改、伪造和回放数据

  • 有效性: 通过 Agora 全球实时虚拟通信网(SD-RTN)实现数据可用性

数据分类

所有客户数据根据以下策略分类并进行相应保护,适用于任何格式的数据和媒体资源。

Agora 将客户数据进行以下分类:

类别 描述
客户账户信息 客户使用 Agora 服务时所需的账户信息,包括账户管理员的 email 地址、公司名称、公司 URL 和后台 Dashboard 访问记录等。
终端用户数据 所有经客户收集的终端用户级别数据,包括用户登录、身份识别、支付信息等等。此类数据不会与 Agora 分享,因此不在本文讨论之列。
通话内容 通话内容信息在终端设备上进行加密,Agora 实时云没有该类数据的解密密钥。
操作性能指标数据
访问 Agora 实时云时由 Agora 服务器生成的所有数据,包括:
  • 媒体服务器日志
  • 分析数据

安全标准

在 Agora 可控范围之内,采用以下安全标准保护客户数据:

数据加密

在客户端之间以及客户端与服务器端的 Agora 频道采用 AES-128 或 AES-256 算法进行加密。

数据传输

传输服务

  • 没有单点: Agora 全球区域均有多个机房可以提供服务。任何机房遭受攻击,都不会影响服务。

  • 地域隔离: 所有边缘节点按照地域划分,用户只会连接本地域的边缘机房,一个地域的机房遭受攻击不会影响其他地域的用户服务。

  • 快速故障恢复: 部署机房如果遭受流量攻击等难以防范的恶意攻击时,使用 Agora 准备的专用上线工具,最快在 30 分钟以内部署全新机房上线服务。

  • 安全的路由服务: Agora 采用路由服务以提高通信质量、增强用户体验,但 Agora 实时云在传输过程中没有任何可对传输的信息进行解密的密钥。内容信息只能在终端设备上(如客户端 App 和 Agora Recording Server)通过客户授权密钥才能解密。

传输调度

SDK 在接入传输服务时,第一步先要经过系统调度,选择合适的边缘节点。

  • 没有单点: 传输调度服务全网多点部署,能够承受任何单点故障和攻击。

  • 服务按照地域隔离: 对每个用户,Agora 仅提供3个调度节点为其服务,既保证用户的高可用,又隐藏其他服务节点。

  • 简单 DoS 攻击防范: 针对单个 IP 的恶意多次请求,Agora 将自动屏蔽该 IP 一段时间。

  • 快速故障恢复: 部署机房如果遭受流量攻击等难以防范的恶意攻击时,使用 Agora 准备的专用上线工具,最快在 30 分钟以内部署全新机房上线服务。

  • 功能隔离: 调度服务即使完全不可用,也不影响正在服务的用户继续通信。

访问授权

每次终端用户访问 Agora 全球实时虚拟通信网( SD-RTN )时,必须通过 Dynamic Key 进行认证。 详见 密钥说明 。 在整个授权和认证过程中,App Server Infrastructure 和 Agora 虚拟网 没有任何交互,因此无需担心被拦截或攻击。

访问 Dashboard

客户可通过 Web 或 Restful API 访问后台 dashboard,查看媒体服务器日志(Media Server Logs)和访问分析数据。 Dashboard 账号与客户提供的电子邮箱地址关联。

数据储存

Agora 实行以下数据储存策略:

通话录制

客户可对部分或全部通话内容进行录制。所有录像/录音均存放在客户服务器端。录制结束后,客户可选择对文件进行逐一加密。加密过的文件只有客户自己拥有解密密钥。

操作性能指标数据

  • 记录电子数据传输/通话操作数据如 IP 地址、用户代理类型、操作系统类型等信息,日志不会收集文本聊天信息。

  • 日志从数据生成之日算起保留 2 年时间。

    • 日志存放于安全的地方,降低篡改风险。

    • 客户账户密码永不会被记录。

    • 客户在 Agora 进行的账户管理信息改动也将被存储。

  • 与 Agora 共享的客户账户信息如公司名称、地址、电话(不包括终端用户或终端用户的程序数据),隔离储存在核心机房,并进行多点备份,不直接对外提供服务。只对有限IP开放服务接口,且需要进行安全验证。

访问控制

电子访问控制

为保证 Agora 的服务正常运转和维护,将有少数几名工作人员(“授权员工”)有权访问运营机器(Production Machines)。 访问运营机器时,每位授权员工将被赋予一个独特的 SSH 密钥和开启该密钥的密码。该员工也将有必要访问 Agora 的企业网络。 所有访问运营机器的员工均须经过由 Agora 主持或委托进行的背景调查。

物理访问控制

所有运营机器均由第三方数据中心托管。Agora 的托管服务供应商都必须保证达到业界最优的安全等级。 在正常运营中,因为运营机器不在 Agora 自有或租赁的办公区域内,任何 Agora 员工都无法接触到这些机器。 所有现场维护都由第三方的托管供应商进行。Agora 租赁的办公场地均已跟 Agora.io 签订业务合作协议(Business Associate Agreement)。

应用程序安全

应用程序级别的安全保障有 SSL,HTTPs,Secure Websockets,AES 加密方案以及终端用户授权管理(End-user Authorization Management)等。

角色和职责

Agora 不仅对自己的员工赋予责权,对客户也有相应要求。详见下表:

Agora 内部角色和职责

Agora 内部安全任务和职责细分如下:

角色 职责
信息安全小组委员会 信息安全小组委员会 (“ISSC”) 负责制定并实施安全策略和规程。ISSC 监督公司严格执行既定制度,对 Agora 安全策略开展定期的技术或非技术评估。ISSC 还可任命”授权员工” 。
授权员工 授权员工指有权访问运营机器的员工。授权员工人数控制在最低范围之内,由ISSC指派,保证操作平台和 Agora 服务的正常运作和维护。
所有其他员工 所有其他员工都必须遵守该制度,根据各自的工作权限确保安全保密性,且一旦发现有违规行为立即向管理层汇报。

职责分担

客户在对 Agora 实时云进行评估时,有必要了解和区分以下安全措施:

  • Agora 实施和运作的安全措施

  • 客户在使用 Agora 实时云服务时,为保障内容信息和程序安全而实施和运作的安全措施

客户可自主选择安全措施,以保障自己的信息、平台、程序、系统和网络安全。 Agora 客户收集的终端客户或终端用户的数据信息,如程序登录信息、身份识别、密码、支付信息、姓名和地址等,都由客户自己保管。此类数据不会与 Agora 共享。

员工安全意识培训

Agora 至少一年一次对员工提供信息保密意识的讲座和培训。 所有授权员工(即有权访问运营机器的员工)将额外接受相应的培训。

违规处理

员工如不遵守信息管理条例或违反 Agora 安全制度,将受到相应惩罚,包括但不限于解聘和法律制裁。