Sikker BigBlueButton-hosting: Væsentlige sikkerhedsforanstaltninger forklaret
For beslutningstagere, databeskyttelsesansvarlige og IT-administratorer: En omfattende guide til at sikre dine virtuelle klasseværelser og mødemiljøer.
I en tid, hvor fjernarbejde og digital uddannelse er blevet standard, er sikkerheden i din videokonferenceinfrastruktur ikke til forhandling. Selvom BigBlueButton er en fremragende open source-platform, afhænger sikkerheden i høj grad af hostingmiljøet og konfigurationen. Uanset om du er en skole, en offentlig myndighed eller en privat virksomhed, er det afgørende at forstå sikkerhedslagene – fra kryptering til overholdelse i det fysiske datacenter.
Hos bbbserver prioriterer vi datasuverænitet og strenge sikkerhedsprotokoller. Denne guide gennemgår de væsentlige tiltag, der kræves for at beskytte dine konferencer, og indeholder en teknisk dybdegående gennemgang for administratorer, der opsætter deres egne miljøer.
Prioriteringsmatrix for sikkerhed
Ikke alle sikkerhedsfunktioner er lige vigtige. Vi har kategoriseret dem for at hjælpe dig med effektivt at prioritere dine hostingbehov.
Grundlæggende beskyttelse
- Kryptering (TLS/SSL): Sikrer, at data under overførsel, inklusive lyd, video og chat, ikke kan opsnappes.
- GDPR-overholdelse: Hosting udelukkende inden for EU (f.eks. Tyskland) med en gyldig databehandleraftale (AV-Vertrag).
- Løbende sikkerhedsopdateringer: Øjeblikkelig installation af BigBlueButton- og OS-sikkerhedsopdateringer for at forhindre udnyttelse af sårbarheder.
Operationel sikkerhed
- ISO 27001-certificering: Datacentre bør være certificerede for at sikre fysisk sikkerhed og strenge styringsprocesser.
- Adgangsbegrænsninger: Funktioner som venterum og obligatoriske adgangskoder for at forhindre uautoriseret adgang (Zoombombing).
- Dataminimering: Automatisk sletning af konferencedata og optagelser efter en fastsat periode for at reducere ansvarsrisiko.
Avanceret styring
- Single Sign-On (SSO): Integration med LDAP, SAML eller OAuth2 til centraliseret brugerstyring.
- Egen branding: Brug af eget domæne og logo øger tilliden blandt deltagerne og sikrer, at de ved, at de er på den rigtige server.
- Dedikerede ressourcer: Dedikerede servere til højbelastningsscenarier for at sikre ensartet ydeevne.
Teknisk dybdegennemgang: Hærdning af din BBB-instans
Hosting hos bbbserver?
Følgende tekniske trin er udelukkende til selvhostede miljøer. Hvis du er bbbserver-kunde, behøver du ikke gøre dette. Vi har allerede implementeret mange sikkerhedshærdningstiltag på dine vegne som en del af vores managed service.
For systemadministratorer, der driver deres egne BigBlueButton-instancer, er standardinstallationen ikke tilstrækkelig. For virkelig at sikre din server mod angreb skal du følge disse konkrete tekniske hærdningstrin.
1. Restriktiv firewall-konfiguration (UFW)
BigBlueButton kræver bestemte porte for at fungere. Luk alt andet. Vi anbefaler at bruge UFW (Uncomplicated Firewall) til at begrænse adgangen strengt.
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Tillad SSH (ret, hvis du bruger en brugerdefineret port)
sudo ufw allow 22/tcp
# Tillad HTTP/HTTPS til webadgang
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# Tillad UDP-interval til WebRTC-lyd/-video (FreeSWITCH)
sudo ufw allow 16384:32768/udp
# Aktivér firewall
sudo ufw enable
2. Sikring af API-adgang
BigBlueButton-API'et tillader oprettelse af rum og udtræk af optagelser. Hvis du bruger en frontend som Moodle eller Greenlight, bør du begrænse API-adgang til KUN deres IP-adresser via Nginx.
Rediger filen: /etc/bigbluebutton/nginx/sip.nginx (eller opret et brugerdefineret include)
# Tillad IP-adressen på din Moodle-/Greenlight-server
allow 192.168.1.50;
# Tillad localhost til intern overvågning
allow 127.0.0.1;
# Afvis alle andre
deny all;
proxy_pass http://127.0.0.1:8090;
}
3. Privatlivshærdning & optagelseshåndtering
For at minimere dataansvar skal du konfigurere serveren til automatisk at slette gamle optagelser eller helt deaktivere optagelse, hvis det ikke er nødvendigt.
Deaktivér optagelse som standard:
I /etc/bigbluebutton/bbb-web.properties, angiv: disableRecordingDefault=true
Automatisk sletning af rådata:
Rediger /etc/cron.daily/bigbluebutton og juster antallet af opbevaringsdage for at reducere lagring af følsomme rådata.
published_days=14
Sikring af BigBlueButton: Daglig drift
Sikkerhed er ikke en engangsopsætning; det er en løbende proces. Sådan sikrer vi vores professionelle BigBlueButton-miljø i den daglige drift:
Automatiserede rullende opdateringer
For at opretholde sikkerhed uden nedetid opdateres servere ved hjælp af en rullende arkitektur. Dette sikrer, at de nyeste sikkerhedsrettelser anvendes straks uden at afbryde igangværende konferencer.
TURN-serverautentificering
Vi anvender en sikret coturn-server med `static-auth-secret` for at forhindre uautoriseret brug af relay, så kun legitim konferencetrafik går gennem vores TURN-relæer.
Sletning af sessionsdata
Privacy by design betyder, at data ikke gemmes længere end nødvendigt. I vores miljø ryddes midlertidige konferencedata automatisk kort efter, at en session slutter, hvilket forhindrer dataophobning.
Proaktiv overvågning
24/7-overvågning af serverbelastning og adgangslogge hjælper med at identificere og afbøde potentielle DDoS-angreb eller uautoriserede adgangsforsøg, før de påvirker brugerne.
Ofte stillede spørgsmål om adgangskontrol
Hvad er SSO, og hvorfor er det vigtigt for sikkerheden?
Single Sign-On (SSO) gør det muligt for brugere at logge ind med deres eksisterende organisationsoplysninger (f.eks. Office 365 eller Moodle). Det forbedrer sikkerheden ved at fjerne behovet for separate adgangskoder og sikre, at kun aktuelt aktive medarbejdere eller studerende kan få adgang til platformen.
Hvordan kan jeg styre, hvem der kommer ind i min konference?
BigBlueButton tilbyder "Waiting Rooms", hvor moderatorer eksplicit skal godkende hver ny deltager. Derudover kan du angive specifikke adgangskoder for rum, så et lækket link alene ikke er nok til at tilslutte sig et møde.
Hvad er forskellen mellem rollerne Moderator og Viewer?
Adskillelse af roller er afgørende for orden og sikkerhed. Moderatorer har fuld kontrol: De kan slå lyden fra for brugere, fjerne forstyrrende deltagere og administrere præsentationer. Viewer-rollen er begrænset til at deltage; den kan ikke ændre layoutet eller styre andre brugeres mikrofoner.
Klar til sikre konferencer?
Gå ikke på kompromis med databeskyttelse. Oplev et BigBlueButton-miljø designet med tyske sikkerhedsstandarder og pålidelighed for øje.
Se pakker og priser