1. Blog
  2. COVID-19
  3. Google Meet and BlueJeans – Re-engineered platforms voor veilige vergaderingen

Google Meet and BlueJeans – Re-engineered platforms voor veilige vergaderingen

Dit is de vierde post in een reeks van blogs waarin de veiligheid van verschillende videoconferencing oplossingen voor het bedrijfsleven worden onderzocht. In deze post onderzoeken we Google Meet en Bluejeans.  Berichten die de komende dagen nog moeten komen, gaan over Skype voor Business, Tixeo, Jitsi Meet & BigBlueButton.

Om te lezen over onze aanpak van deze analyse, het doelgerichte veiligheidsmodel dat we hebben toegepast te begrijpen, of een zij-aan-zij vergelijking van de beoordeelde producten te zien, kunt u onze eerste post uit deze serie bezoeken.

Google Meet

Google Meet, tot 09 april 2020 bekend als Meet by Google Hangouts, is een videoconferentieplatform voor bedrijven dat door Google is ontwikkeld en in maart 2017 is opgericht.

De oplossing is geïntegreerd in het Google Suite ecosysteem (Gmail, Docs, Drive, etc.).

Voor de G Suite-licentie moet een vergoeding worden betaald voor de gebruikte service. Het licentieniveau bepaalt het maximaal toegestane aantal deelnemers aan een videoconferentie. Echter heeft Google vanaf 29 april Meet beschikbaar gesteld voor particulieren, zolang zij een Google-account hebben

Functies

Meet maakt het mogelijk om vergaderingen op afstand te organiseren (door middel van audio- en videogesprekken), biedt het delen van documenten en een instant mailbox systeem. De dienst is online toegankelijk via de meeste internetbrowsers of via mobiele applicaties die beschikbaar zijn op Android of IOS. Er is geen verschil tussen de functies die door de clientsoftware worden aangeboden en de functies die in de webversie worden aangeboden.

De Meet-applicatie is beschikbaar op de meeste toonaangevende platforms: Windows, Mac OS, Chrome, GNU/Linux en in applicatieformaat op IOS- en Android-platforms. Meet stelt de deelnemers ook in staat om deel te nemen aan een geplande videovergadering door het invoeren van een enkele code. De service is alleen beschikbaar in SaaS-modus via de G-Suite.

De tool is geïntegreerd in de Google Suite, waardoor het gebruik van andere diensten eenvoudiger wordt. We vonden de productinterface intuïtief en gemakkelijk te gebruiken, en het is mogelijk om deel te nemen aan vergaderingen vanaf elk apparaat en via mobiele telefoons.

We vonden de interface met andere producten zoals de Microsoft Office-suite minder dan soepel, waarschijnlijk omdat deze oplossing voornamelijk is opgezet voor gebruikers van Google-tools (Gmail, Chrome, Google Calendar, enz.). Het systeem lijkt ook last te hebben van beperkingen met andere browsers dan Google Chrome.

Resultaten tabel

Encryptie
Gebruikt een geschikt encryptie-algoritme Onduidelijk Dit is voor ons onduidelijk. Meet gebruikt Datagram Transport Layer Security (DTLS) en Secure Real-time Transport Protocol (SRTP) en SRTP gebruikt Advanced Encryption Standard (AES) als standaardcodering, maar dit is optioneel in de implementatie.

Zie https://support.google.com/a/answer/7582940?hl=en

Gebruikt een sterke encryptiesleutel Onduidelijk Dit is voor ons onduidelijk: Niet in staat om informatie te vinden voor Gsuite tools zoals Meet.

Zie https://support.google.com/googlecloud/answer/6056693?hl=en

De gegevens worden bij normaal gebruik gecodeerd tijdens het transport Volledig Zie https://support.google.com/a/answer/7582940?hl=en
Gegevens blijven gecodeerd op de servers van de provider Niet Voor zover wij weten. Volgens Google “worden alle gegevens in Meet standaard gecodeerd tijdens het transport tussen de klant en Google”.

Zie https://support.google.com/a/answer/7582940?hl=en

Stem, video en tekst zijn allemaal gecodeerd Volledig Zie https://support.google.com/a/answer/7582940?hl=en
Bestandsoverdrachten & sessie-opnamen zijn gecodeerd Volledig Zie https://support.google.com/a/answer/7582940?hl=en
De vendor kan de gegevens technisch gezien op geen enkel moment ontcijferen, zelfs niet onder druk van de regelgeving (volledige E2EE) Niet Voor zover wij weten worden de G-suite sleutels beheerd door Google. In Google Cloud kunnen de keys door gebruikers worden beheerd. Google biedt een Key Management Solution (KMS) om de creatie, het beheer en de vernietiging van sleutels te verbeteren, maar het is ons niet duidelijk dat dit kan worden toegepast op Meet, of dat het voorkomt dat Google toegang tot die sleutels nodig heeft.

Zie https://cloud.google.com/blog/products/gcp/cloud-kms-ga-new-partners-expand-encryption-options

Encryptie-implementatie heeft het onderzoek in de loop van de tijd doorstaan Volledig
Authenticatie
Beheerders kunnen het beveiligingsbeleid voor wachtwoorden definiëren Gedeeltelijk Het wachtwoordbeleid lijkt te zijn ingesteld op het niveau van het Google-account, individuele wachtwoorden voor vergaderingen lijken niet te worden gebruikt.

Zie https://support.google.com/a/answer/139399?hl=en en https://support.google.com/meet/answer/9303069?hl=en&co=GENIE.Platform=Desktop

Ondersteunt MFA als standaard Volledig
Kan integreren met Active Directory of vergelijkbaar Volledig Zie https://support.google.com/a/answer/106368?hl=en
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar. Volledig Zie https://support.google.com/a/answer/6087519?hl=en
Biedt RBAC aan Volledig Zie https://support.google.com/a/answer/1219251?hl=en
Maakt het mogelijk om wachtwoorden in te stellen voor vergaderingen Niet Zie https://support.google.com/meet/thread/35052991?hl=en en https://support.google.com/meet/thread/35052991?hl=en&msgid=46012118
Maakt het mogelijk om het beveiligingsbeleid voor vergaderingen met wachtwoorden in te stellen Niet Wachtwoorden zijn niet beschikbaar voor vergaderingen. Deelnemers zonder een Google-account moeten vragen om deel te nemen aan een vergadering, terwijl gebruikers van een Google-account die zijn uitgenodigd, direct kunnen deelnemen aan de vergadering.

Zie https://support.google.com/meet/thread/35052991?hl=en&msgid=46012118

Jurisdictie
Adres hoofdkantoor USA Mountain View, CA, USA
De verkoper kan technisch gezien geen toegang krijgen tot de gegevens zonder toestemming van de klant Niet De gegevens zijn toegankelijk, maar mogen alleen op verzoek van de klant worden gebruikt voor ondersteuning of andere doeleinden. Google biedt Access Transparency-logs aan voor G Suite Enterprise en G Suite Enterprise for Education, zodat ze de logs van de acties van het personeel van Google kunnen bekijken.

Zie https://support.google.com/a/answer/9230474

Een volledige on-prem versie is beschikbaar voor gebruikers die de leverancier niet willen vertrouwen. Niet Er is geen volledige on-prem versie van Google Meet, deze oplossing is opgenomen in Google Suite, gehost op Google Cloud Solutions.
Voor SaaS-modi kan de klant selecteren welke landen of politieke regio’s gegevens worden opgeslagen of verwerkt in Gedeeltelijk De functie is beschikbaar, maar lijkt zich te beperken tot het kiezen van een wereldwijd verspreide functie, in de VS of in Europa. De G Suite dataregio’s functie kan worden gebruikt om Meet recordings in Drive alleen op te slaan in specifieke regio’s (bijvoorbeeld de VS of Europa). Regionale opslagbeperkingen zijn niet van toepassing op video-transcodes, verwerking, indexering, enz.

Zie https://gsuite.google.com/products/admin/data-regions en https://support.google.com/a/answer/7582940?hl=en

Voldoet aan de toepasselijke veiligheidscertificaten (bv. ISO27002 of BSI C5) Volledig
  • SOC1/2/3
  • ISO 27001
  • ISO 27017
  • ISO27018
  • FedRamp Moderate ATO
  • HIPAA
  • HITRUST
  • BSI 5
  • ENS High

Zie https://support.google.com/a/answer/7582940?hl=en

https://cloud.google.com/security/compliance

Voldoet aan de juiste privacynormen (bijv. FERPA of GDPR). Volledig
  • GDPR
  • Privacy Shield

Zie https://cloud.google.com/security/gdpr/resource-center/contracts-and-terms

en https://cloud.google.com/security/compliance/privacy-shield

Biedt een transparantierapport met informatie over verzoeken om gegevens, dossiers of inhoud. Volledig Zie https://support.google.com/meet/answer/9852160?hl=en

https://transparencyreport.google.com/user-data/overview

Security Management
Biedt andere vormen van toegangscontrole tot vergaderingen, bijvoorbeeld wachtkamers, lock-out, bannen, enz. Gedeeltelijk
  • Deelnemers zonder een Google-account moeten vragen om deel te nemen aan een vergadering, terwijl Google-account-gebruikers die zijn uitgenodigd direct kunnen deelnemen.
  • Alleen makers van vergaderingen en agendabeheerders kunnen andere deelnemers dempen of verwijderen.
  • Alleen makers van vergaderingen en agendabeheerders kunnen verzoeken om deelname van externe deelnemers goedkeuren.
  • Deelnemers aan een vergadering kunnen niet meer deelnemen aan een vergadering zodra de laatste deelnemer is vertrokken.
  • Google Meet maakt gebruik van een keten van 25 tekens voor vergadering ID’s en beperkt de mogelijkheid van externe deelnemers om 15 minuten voor aanvang van de vergadering deel te nemen aan een vergadering.

Zie https://www.zdnet.com/article/google-heres-how-google-meet-beats-zoombombing-trolls/ en https://sada.com/blog/google-cloud/g-suite/google-meet-vs-zoom-7-reasons-why-google-meet-is-superior/

Maakt het mogelijk om granulaire controle uit te oefenen op acties binnen de vergadering, zoals het delen van het scherm, bestandsoverdracht, afstandsbediening. Niet Niet in staat om iets concreets te vinden dat suggereert dat dit mogelijk was, kan mogelijk zijn vanaf een hoger niveau in de G-Suite instellingen.
Biedt duidelijke centrale controle over alle beveiligingsinstellingen Gedeeltelijk Niet specifiek voor Google Meet, lijkt te worden gedaan op het G Suite Google Account niveau met behulp van Cloud Identity en Access Management (IAM).
Maakt monitoring en onderhoud van endpointsoftwareversies mogelijk Niet Niet van toepassing aangezien Google Meet volledig in de browser voor desktopclients draait. Apps zijn beschikbaar voor Android en iOS en deze zouden automatisch worden geüpdatet via hun app stores.
Biedt compliance-functies zoals eDiscovery & Legal Hold Volledig Zie https://support.google.com/a/answer/2462365?hl=en
Auditing en rapportage Volledig Zie https://support.google.com/a/answer/9186729?hl=en
Extra content veiligheidscontroles zoals DLP, watermerken, enz. Gedeeltelijk
  • G Suite Enterprise bevat Data Loss Prevention (DLP) voor Drive.
  • Gebruikers kunnen zich inschrijven voor het Advanced Protection Program (APP) van Google, dat bescherming biedt tegen phishing en accountkaping.

Zie https://apps.google.com/meet/pricing/ en https://support.google.com/a/answer/7582940?hl=en

Vulnerability Management
Percentage van NVD 2019 0.00 In hun vorige ‘Hangouts’-product zijn enkele kwetsbaarheden gemeld.
Percentage van NVD 2020 0.00
Vendor maakt bekend welke kwetsbaarheden zijn aangepakt Onduidelijk Kon geen meldingen vinden van eventuele kwetsbaarheden, hoewel het niet duidelijk is of dit te wijten is aan het feit dat er geen kwetsbaarheden zijn of dat ze niet bekend zijn gemaakt.
Vendor voert een bug bounty uit Volledig Google heeft een eigen Google Vulnerability Reward Program (VRP).

Zie https://www.google.co.uk/about/appsecurity/reward-program/

Encryptie

Het spraak-, video- en tekstverkeer dat door Meet wordt gegenereerd, is versleuteld tussen het eindpunt en de servers van Google, met uitzondering natuurlijk van telefonische inbelverbindingen, wat het geval zou zijn voor alle providers die deze functie aanbieden.

Meet implementeert Datagram Transport Layer Security (DTLS) en Secure Real-time Transport Protocol (SRTP). DTLS is gebaseerd op het Transport Layer Security (TLS) protocol en is bedoeld om vergelijkbare veiligheidsgaranties te bieden. SRTP biedt encryptie, bericht authenticatie en integriteit, en replay aanvalsbescherming voor het RTP-protocol, dat wordt gebruikt om audio en video te streamen.

Dit zijn beide aanvaarde standaarden voor dit soort eisen. Meet opnames die zijn opgeslagen in Google Drive zijn standaard versleuteld in rust.

Er moet echter worden opgemerkt dat er geen poging wordt gedaan om E2EE-encryptie te leveren en dat de gegevens daarom de infrastructuur van Google in duidelijke tekst kunnen doorkruisen.

Authenticatie

Authenticatie gebeurt via een Google-account dat ook wordt gebruikt om toegang te krijgen tot andere G-Suite-applicaties, die ondersteuning bieden voor single sign-on (SSO). De cloudservices van Google bieden verschillende vormen van sterke authenticatie en gebruikers profiteren ook van verschillende andere beveiligingscontroles die Google in al haar diensten opneemt, waaronder Suspicious Login Monitoring, Context Aware Access en het Advanced Protection Program.

Anonieme gebruikers kunnen worden toegestaan om deel te nemen aan vergaderingen als ze expliciet zijn uitgenodigd of toegestaan door de organisator van de vergadering.

Jurisdictie & Regulering

Google maakt reclame voor verschillende beveiligings- en privacycertificaten en accreditaties voor hun cloud-suite, waaronder ISO27001, PCI DSS, HIPAA, FIPS, NHS Digital Commercial Third-Party Information Governance Requirements, Privacy Shield, GDPR en C5 . In 2016 heeft het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) de Cloud Computing Compliance Controls Catalog (C5) gecreëerd. C5 is een geauditeerde standaard die een verplichte minimale baseline voor cloudbeveiliging en de adoptie van publieke cloud-oplossingen door Duitse overheidsinstellingen en organisaties die met de overheid werken, vastlegt. C5 wordt ook steeds meer door de private sector geadopteerd.

Echter, Google, als een in de VS gevestigd bedrijf en onderworpen aan de regelgeving van het land, kan worden gedwongen om communicatie te onderscheppen. Google heeft in het verleden met zijn Business to Client (B2C)-oplossingen, zoals Gmail en Search, te maken gehad met kritiek op misbruik van privacy, en is ervan beschuldigd de persoonlijke gegevens en voorkeuren van gebruikers op te halen voor gerichte marketing. We vinden echter dat dit niet kan worden gezegd over hun Business to Business aanbiedingen.

G Suite Business, Enterprise en Enterprise for Education klanten kunnen de regio aanwijzen waar de primaire gegevens voor geselecteerde G Suite apps worden opgeslagen wanneer ze in de rest van de wereld, in de VS of in Europa – voor de soevereiniteit van de gegevens – zijn opgeslagen. Klanten kunnen ook de functionaliteit voor dataregio’s gebruiken om geselecteerde/ondersteunde gegevens van Google Meet-opnamen in specifieke regio’s (d.w.z. de VS of Europa) op te slaan. We konden echter geen bewijs vinden dat regio’s zouden worden afgedwongen voor spraak-, video- of tekstverkeer.

Beveiligingsfuncties en -beheer

Met de IAM-service (Identity and Access Management) van Google kunnen beheerders alle gebruikersgegevens en de toegang tot cloudtoepassingen op één plek beheren.

Auditlogging voor Meet is beschikbaar binnen de beheerconsole voor GSuite Enterprise en Google biedt Access Transparency , een functie die elke Google-beheerder toegang tot Meet-opnamen die zijn opgeslagen op Drive, registreert. Access Transparency wordt ook aangeboden als onderdeel van GSuite Enterprise.

G Suite Enterprise bevat Data Loss Prevention (DLP) voor Drive.

Gebruikers van Meet kunnen zich inschrijven voor het Advanced Protection Program (APP) van Google, dat bescherming biedt tegen phishing en accountkaping.

Kwetsbaarheid & exploitatiegeschiedenis

Er zijn geen kwetsbaarheden voor deze technologie geregistreerd in de NIST National Vulnerability Database. Google is in geen geval immuun voor beveiligingsfouten en -exploitaties en er zijn enkele kwetsbaarheden gemeld in hun vorige ‘Hangouts’-product. Hoewel er weinig gegevens zijn om het beveiligingserfgoed van dit product te beoordelen, zou het eerlijk zijn om te stellen dat Google in dit opzicht robuuste processen en een sterke reputatie heeft.

 

BlueJeans

BlueJeans biedt een interactieve cloud-based videovergaderingservice die veel gebruikers verbindt met verschillende apparaten, platforms en conferentieprogramma’s. Elk BlueJeans-lid heeft een eigen “vergaderruimte” in de BlueJeans-cloud om vergaderingen te plannen en te organiseren. Het werkt met zakelijke vergaderoplossingen zoals Cisco, Microsoft Lync, StarLeaf, Lifesize en Polycom, maar ook met consumentendiensten zoals Google.

Verizon kondigde op 16 april 2020 aan dat het een overeenkomst had gesloten om BlueJeans over te nemen om het aanbod van zijn zakelijke portefeuille uit te breiden, in het bijzonder het verenigde communicatieaanbod. De transactie zal naar verwachting in het tweede kwartaal van 2020 worden afgerond.

Functies

BlueJeans biedt eindgebruikers compatibiliteit om probleemloos videoconferencing te garanderen, ongeacht het besturingssysteem (bijv. Windows, macOS, Linux), de browser (bijv. Chrome, Firefox, Safari, Edge, Opera), het mobiele apparaat (bijv. iOS, Android), of de virtuele desktopinfrastructuur (bijv. Citrix). De hardware-interoperabiliteit is uitgebreid en omvat Cisco, Poly, Lifesize, Dolby en meer, in wezen als het gebaseerd is op SIP- of H.323-standaarden, is het interoperabel met BlueJeans.

De software bevat verschillende opvallende functies die aantrekkelijk zijn voor ondernemers en professionals. Zo kunnen bijvoorbeeld vergaderopnames worden onderverdeeld in hoofdstukken, met segmenthighlights, taaktoewijzing en slimme opvolging.

Naast het feit dat vergaderingen geen tijdslimiet hebben, kunnen hosts tot 20 breakout-sessies maken en de deelnemers naar behoefte verdelen, wat geweldig is voor het samenwerken aan subtaken. U kunt eenvoudig uw scherm delen, aantekeningen maken met whiteboardfuncties en zelfs op afstand toegang geven tot het bureaublad van een medewerker. Er is echter geen optie om achtergronden te vervagen voor meer privacy en afleidingsvrije vergaderingen.

Beheerders hebben geavanceerde functies voor gebruikersbeheer en kunnen gebruik maken van een centrale beheerconsole om gebruikers toe te voegen en te beheren, toegangsrechten en wachtwoorden in te stellen en functies in te schakelen of uit te schakelen op bedrijfsniveau of in groepsverband.

BlueJeans integreert met een aantal andere applicaties waaronder Slack, Microsoft Teams, Microsoft Outlook, Google Calendar & Okta.

Resultaten tabel

Encryption
Gebruikt een geschikt encryptie-algoritme Volledig BlueJeans ondersteunt op standaard gebaseerde encryptie (AES-128) die vandaag de dag op de meeste video-endpoints beschikbaar is. https://www.bluejeans.com/sites/default/files/pdf/Blue-Jeans-Network-Security.pdf
Gebruikt een sterke encryptiesleutel Volledig AES-128 voor oproepen en AES-256 voor gegevens in rust.
De gegevens worden bij normaal gebruik gecodeerd tijdens het transport Volledig BlueJeans verbindingen die gebruik maken van BlueJeans client applicaties of webbrowsers voor video worden standaard gecodeerd in BlueJeans vergaderingen.

https://www.bluejeans.com/sites/default/files/pdf/Blue-Jeans-Network-Security.pdf

Gegevens blijven gecodeerd op de servers van de provider Onduidelijk We konden dit niet ophelderen aan de hand van de beschikbare documentatie.
Stem, video en tekst zijn allemaal gecodeerd Volledig “Enforce Encryption” kan worden ingesteld bij het plannen van een BlueJeans-bijeenkomst om ervoor te zorgen dat alleen apparaten die geschikt zijn voor encryptie aan de bijeenkomst kunnen deelnemen.
Bestandsoverdrachten & sessie-opnamen zijn gecodeerd Volledig De opnames worden opgeslagen in beveiligde containers in de cloud. Deze video’s zijn in rust gecodeerd (AES-256bit) en zijn alleen toegankelijk voor de maker van de opname.

https://www.bluejeans.com/sites/default/files/pdf/Blue-Jeans-Network-Security.pdf

De vendor kan de gegevens technisch gezien op geen enkel moment ontcijferen, zelfs niet onder druk van de regelgeving (volledige E2EE) Niet Niet voor zover wij weten
Encryptie-implementatie heeft het onderzoek in de loop van de tijd doorstaan Volledig
Authenticatie
Beheerders kunnen het beveiligingsbeleid voor wachtwoorden definiëren Volledig Groepsbeheerders die het authenticatietype van hun groep hebben ingesteld om een BlueJeans-gebruikersnaam & -wachtwoord te gebruiken, kunnen de vereisten voor het wachtwoord aanpassen voor al hun nieuwe en bestaande gebruikers.

Zie https://support.bluejeans.com/s/article/How-to-Change-Password-Requirements

Ondersteunt MFA als standaard Niet Geen eigen MFA beschikbaar, heeft IdP van derden nodig om het te leveren.
Kan integreren met Active Directory of vergelijkbaar Volledig Zie https://support.bluejeans.com/s/article/BlueJeans-SSO-Support-and-FAQ
Kan integreren met SSO-oplossingen via SAML of vergelijkbaar. Volledig Zie https://support.bluejeans.com/s/article/BlueJeans-SSO-Support-and-FAQ
Biedt RBAC aan Volledig Zie https://support.bluejeans.com/s/article/Managing-Features-for-Users
Maakt het mogelijk om wachtwoorden in te stellen voor vergaderingen Gedeeltelijk Er kunnen geen wachtwoorden worden ingesteld, maar wel een deelnemerswachtwoord.
Maakt het mogelijk om het beveiligingsbeleid voor vergaderingen met wachtwoorden in te stellen Niet
Jurisdictie
Adres hoofdkantoor USA San Jose, California,U.S.A
De verkoper kan technisch gezien geen toegang krijgen tot de gegevens zonder toestemming van de klant Niet Het lijkt erop dat ze toegang hebben tot de gegevens, maar alleen met toestemming van de klanten.

Zie https://www.bluejeans.com/sites/default/files/security-and-privacy.pdf

Een volledige on-prem versie is beschikbaar voor gebruikers die de leverancier niet willen vertrouwen. Niet Ze bieden Blue Jeans Relay aan dat de integratie van bestaande kalenderdiensten en conferentieapparatuur mogelijk maakt, maar een verbinding met Blue Jeans is nog steeds vereist.

Zie https://support.bluejeans.com/s/article/BlueJeans-Relay

Voor SaaS-modi kan de klant selecteren welke landen of politieke regio’s gegevens worden opgeslagen of verwerkt in Niet Kon geen enkele aanwijzing vinden dat dit een ondersteunde functie was.
Voldoet aan de toepasselijke veiligheidscertificaten (bv. ISO27002 of BSI C5) Gedeeltelijk Er zijn geen aanwijzingen voor het behalen van een ISO-certificering, hoewel de aanbieders van datacenters ISO 27001-gecertificeerd zijn en zij beweren een ISO 27001-raamwerk te volgen.

Zie  https://www.digitalmarketplace.service.gov.uk/g-cloud/services/623403157578821

Voldoet aan de juiste privacynormen (bijv. FERPA of GDPR). Volledig Zie https://www.bluejeans.com/trust-center/compliance
Biedt een transparantierapport met informatie over verzoeken om gegevens, dossiers of inhoud. Niet Kon geen enkele verwijzing vinden naar een transparantieverslag. In hun privacyrapport staat echter wel dat zij informatie zullen delen met derden als dat nodig is om “te voldoen aan een wettelijke verplichting, regelgeving of een verzoek van de overheid”.
Security Management
Biedt andere vormen van toegangscontrole tot vergaderingen, bijvoorbeeld wachtkamers, lock-out, bannen, enz. Volledig Zie https://support.bluejeans.com/s/article/Meeting-Security-Features
Maakt het mogelijk om granulaire controle uit te oefenen op acties binnen de vergadering, zoals het delen van het scherm, bestandsoverdracht, afstandsbediening. Volledig Zie https://support.bluejeans.com/s/article/Administrator-s-Training-Guide#manage_features

https://support.bluejeans.com/s/article/Meeting-Controls-for-Participants-and-Moderators

Biedt duidelijke centrale controle over alle beveiligingsinstellingen Volledig Zie https://support.bluejeans.com/s/article/Administrator-s-Training-Guide#manage_features

Zie https://support.bluejeans.com/s/article/BlueJeans-App-2-x-Centralized-Deployment

Maakt monitoring en onderhoud van endpointsoftwareversies mogelijk Niet Vertrouwt op derden voor de inzet.

Zie https://support.bluejeans.com/s/article/BlueJeans-App-2-x-Centralized-Deployment

Biedt compliance-functies zoals eDiscovery & Legal Hold Niet Er kon geen verwijzing worden gevonden naar eDiscovery of Legal Hold.
Auditing en rapportage Gedeeltelijk Kon geen verwijzing vinden naar audit logging, maar rapportage over metrische en statistische gegevens is beschikbaar in het BlueJeans Command Center.

Zie https://pws-bluejeans-drive-prod.s3-us-west-2.amazonaws.com/file/command_center_guide_-_nov_2018.pdf

Additional content security controls like DLP, watermarking, etc. Gedeeltelijk Kon geen enkele verwijzing naar DLP vinden, maar er is wel een watermerk beschikbaar.

Zie https://support.bluejeans.com/s/article/Event-Watermark-Instructions-and-Guidelines

Vulnerability Management
Percentage van NVD 2019 0.00
Percentage van NVD 2020 0.00
Vendor maakt bekend welke kwetsbaarheden zijn aangepakt Niet Er is een bug bounty die via BugCrowd wordt bediend, maar het onthullen van kwetsbaarheden is niet toegestaan. BlueJeans eigen Security Advisories webpagina is leeg.
Vendor voert een bug bounty uit Volledig Ja via BugCrowd, maar een melding van kwetsbaarheden is niet toegestaan.

 

Encryptie

Zoals de meeste videoconferentie oplossingen, ondersteunt BlueJeans geen end-to-end encryptie. Echter, gesprekken kunnen nog steeds AES-128 versleuteld zijn en u kunt “Enforce Encryption” selecteren bij het plannen van een BlueJeans vergadering om er zeker van te zijn dat alleen apparaten die geschikt zijn voor versleuteling aan de vergadering kunnen deelnemen.

Vergaderopnames worden opgeslagen in beveiligde containers in de cloud. Deze video’s zijn in rust gecodeerd (AES-256bit) en zijn alleen toegankelijk voor de maker van de opname. Ze kunnen door de maker van de opname worden gedeeld met behulp van e-mailadressen via de webgebruikersinterface. Deze kunnen worden bekeken als een versleutelde (AES-128bit) afspeelstroom met behulp van een webbrowser of worden gedownload naar een mediaserver of opslagapparaat op locatie.

Authenticatie

Volgens de website gebruikt BlueJeans de veilige en algemeen geaccepteerde industriestandaard Security Assertion Markup Language (SAML), voor de Single Sign On methode. Dit betekent ook dat BlueJeans’s implementatie van SSO gemakkelijk integreert met elke grote Identity Provider (IdP) die SAML ondersteunt. Officieel ondersteunde Identity Providers zijn onder andere ADFS 2.0 & 3.0, Citrix Cloud, Okta, OneLogin, Centrify, Azure AD, Shibboleth, RSA SecurID, Ping Identity & Bitium.

We zagen geen enkele verwijzing naar een eigen multi-factor authenticatie ondersteuning in de BlueJeans applicatie, maar de ondersteunde SSO-platformen zouden dit wel moeten kunnen bieden.

Jurisdictie & Regulering

BlueJeans diensten worden gehost in zes tier-4, co-locatie datacenters over de hele wereld. Hun primaire productiedatacenter is gevestigd in Equinix Inc. in San Jose, Californië, met drie andere datacenters in de Equinix-faciliteiten in Ashburn, Virginia; Amsterdam en Singapore. Er is ook een extra niet-Equinix-locatie in Sydney, Australië. AWS en Azure worden ook gebruikt voor extra capaciteit en opslagdiensten over de hele wereld.

BlueJeans voldoet aan het EU-VS Privacy Shield Framework zoals uiteengezet door de  Amerikaanse Department of Commerce met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke informatie die wordt overgedragen van de Europese Unie naar de Verenigde Staten. BlueJeans houdt zich aan de Privacy Shield Principles.

BlueJeans verklaart op haar site dat zij een bijgewerkt Privacybeleid heeft gepubliceerd om te helpen voldoen aan de transparantie- en kennisgevingsvereisten van de GDPR. En dat BlueJeans de nodige zorgvuldigheid blijft betrachten ten aanzien van onderaannemers, subverwerkers en dienstverleners om ervoor te zorgen dat persoonlijke gegevens op de juiste manier worden behandeld en beschermd.

Beveiligingsfuncties en -beheer

BlueJeans heeft een ogenschijnlijk eenvoudig te gebruiken admin-interface, al lijken de opties wel beperkt. De standaardopties kunnen worden geconfigureerd, zoals de manier waarop opnames worden behandeld, gedeeld en bewaard. Wachtwoordopties kunnen ook worden geconfigureerd om een minimale lengte te eisen en of er specifieke karakters aanwezig moeten zijn. Functies zoals Remote Desktop Sharing, Recording en de mogelijkheid om grote vergaderingen te hosten, kunnen allemaal centraal worden in- of uitgeschakeld als standaardinstelling. Dezelfde functies kunnen ook worden in- of uitgeschakeld op gebruikersniveau, samen met welke rechten een gebruiker heeft over de BlueJeans-oplossing zelf. Verder is er het BlueJeans Command Center, een service intelligence tool die real-time en historische gegevens biedt aan IT-organisaties, inclusief de mogelijkheid om hun BlueJeans inzet te visualiseren, te meten en te beheren.

Kwetsbaarheid & exploitatiegeschiedenis

De NIST National Vulnerability Database lijkt op dit moment geen gegevens te hebben voor BlueJeans. De BlueJeans Security Advisories pagina op de website heeft ook niets vermeld. Het heeft wel een bug bounty programma via Bugcrowd, maar het staat geen openbaarmaking toe. Er zijn verschillende mensen die in de hall of fame van het programma staan vermeld, wat suggereert dat er kwetsbaarheden zijn gevonden, maar niet openbaar zijn gemaakt.


1: Video killed the conferencing star
2:Gedetailleerde productanalyse – Zoom & Microsoft Teams
3:Laten we eens kijken naar Cisco Webex – Een visionaire speler
4: Google Meet and BlueJeans – Re-engineered platforms for secure meetings
5: Tixeo and BigBlueButton
6: A closer look at Skype for business and Jitsi Meet


Sources

[1] https://support.google.com/a/answer/7582940?hl=en[2] https://support.google.com/googlecloud/answer/6056694?hl=en
[3] https://support.google.com/a/answer/9223653?visit_id=637235273289133820-1425387093&rd=1
[4] https://cloud.google.com/access-transparency/
[5] “AES-128 provides more than enough security margin for the forseeable future. But if you’re already using AES-256, there’s no reason to change” – Bruce Schneier, July 2019 (https://www.schneier.com/blog/archives/2009/07/another_new_aes.html).
[6] https://www.privacyshield.gov/participant?id=a2zt00000004EkRAAU&status=Active

Authors

Head of Security Research

Charl van der Walt

Technical thought leader, spokesman and figurehead for Orange Cyberdefense world-wide, leading and managing the OCD Security Research Center – a specialist security research unit. We identify, track, analyze, communicate and act upon significant developments in the security landscape.

Senior Consultant Cybersecurity

Quentin Aguesse

Graduated from a French Business School, Quentin is now senior consultant at Orange Cyberdefense operating from Casablanca (Morocco). With nearly 10 years of experience, Quentin has specialised in risk assessment , disaster recovery planning, as well as cybersecurity awareness.

Consultant Cybersecurity

Jérôme Mauvais

As a specialist in regulatory compliance, Jérôme Mauvais is a security consultant for Orange Cyberdefense. Highly invested in the protection of personal data, Jérôme has also been remarked all along his career for his great capacities of knowledge transmission.

Lead Security Researcher (MSIS Labs)

Carl Morris

Carl has over 20 years’ experience working within IT, covering the whole breadth of the IT infrastructure, with a primary focus and interest on the security related solutions. This has been followed by a decade working in MSSP’s, the latest of which being at SecureData for over 7 years. Initially as an Escalation Engineer followed by moving into Professional Services then to the Managed Threat Detection team as a Senior Security Analyst before moving into the Labs team as a Lead Security Researcher.

Delen