Благодарим за обратната връзка.
Управление на вашия собствен главен ключ на клиент
Обратна връзка?
Като част от нашия ангажимент за защита от край до край, Webex държи главен ключ от името на всяка организация. Наричаме го главен ключ, защото той не шифрира директно съдържанието, а се използва за шифроване на другите ключове на вашата организация, които шифроват съдържанието. Базовото ниво на йерархията на ключа се нарича ключ за съдържание (CK), а междинните нива на ключа се наричат ключове за шифроване на ключове (KEK).
Осъзнаваме, че някои организации предпочитат да управляват собствената си защита, така че ви даваме възможност да управлявате собствения си главен ключ (CMK) на клиента. Това означава, че поемате отговорността за създаването и ротацията (повторното шифроване) на главния ключ, който Webex използва за шифроване на вашите ключове за шифроване на съдържание.
След това ключът се отнася до CMK, освен ако не е посочено друго.
Как работи
-
Webex поддържа вашия CMK в модул за хардуерна защита (HSM), така че услугите на Webex да нямат достъп до стойността на CMK.
-
Control Hub показва вашето текущо активно или анулирано CMK и всички чакащи CMK, които се съхраняват в HSM. Когато трябва да завъртите (шифровате отново) CMK, генерирате новия си CMK и го шифровате с публичния ключ на HSM, така че само HSM да може да го дешифрира и съхранява.
-
След това качвате и активирате новата CMK в Control Hub. Webex незабавно започва да използва новия CMK за шифроване на вашите ключове за съдържание. Webex запазва стария CMK, но само докато не е сигурно, че вашите ключове за шифроване на съдържание са защитени от новия CMK.
Осъзнаваме, че някои организации предпочитат да управляват собствен ключ извън Webex. Ето защо ви даваме възможност да управлявате свой собствен CMK в услугата за управление на ключове на Amazon Web Services (AWS). Това означава, че вие сте отговорни за управлението на вашите ключове в AWS KMS. Упълномощавате Webex да шифрира и дешифрира с помощта на вашия AWS KMS ключ през конзолата на AWS. Предоставяте на Webex своя ИД на ключ за AWS KMS вместо своя CMK. Това означава, че поемате отговорността за създаването и ротацията (повторното шифроване) на ключа AWS KMS, който Webex използва за шифроване на вашите ключове за шифроване на съдържание в облака.
Как работи
-
Можете да създадете ключ с AWS. AWS KMS се използва за управление на вашия ключ и съхранява ключа в модул за хардуерна защита (HSM).
-
Предоставяте на Webex достъп, за да използвате AWS KMS ключа чрез конзолата на AWS.
Това означава, че вместо да качвате своя CMK в Control Hub, предоставяте на Webex достъп до KMS ключа на AWS. Ключът AWS KMS не оставя вашите AWS KMS и услугите на Webex нямат достъп до материалите на ключа на AWS KMS.
Control Hub показва вашия текущо активен или анулиран AWS KMS ключ и всеки чакащ AWS KMS ключ, който се съхранява в AWS KMS. Когато трябва да завъртите AWS KMS ключа, ще генерирате новия си AWS KMS ключ с конзолата на AWS KMS.
-
След това добавяте и активирате новия ключ AWS KMS в Control Hub, като му предоставите Amazon Resource Name (ARN) на новия ключ AWS KMS. Webex незабавно започва да използва новия AWS KMS ключ за шифроване на вашите ключове за съдържание. Webex вече не изисква стария AWS KMS ключ. Старият AWS KMS ключ ще изчезне от Control Hub, след като вашите ключове за шифроване на съдържание бъдат ротирани и защитени от новия AWS KMS ключ. Webex не изтрива AWS KMS ключа от AWS KMS. Администраторът на вашия клиент може да премахне ключа от AWS KMS.
Жизнен цикъл на ключа
Дефиниции на ключови състояния
- В очакване
-
Ключът в това състояние се съхранява в HSM, но все още не се използва за шифроване. Webex не използва тази CMK за шифроване.
В това състояние може да има само един ключ. - Активен
-
В момента Webex използва тази CMK, за да шифрира други ключове за вашата организация.
В това състояние може да има само един ключ. - Завъртане
-
Webex временно използва тази CMK. Webex се нуждае от него, за да дешифрира вашите данни и ключове, които преди това са били шифровани от този ключ. Този ключ се отнема, когато ротацията (повторно шифроване) завърши.
В това състояние могат да има няколко бутона, ако бъде активиран нов ключ, преди да завърши ротацията. - С изтекъл срок
-
Webex не използва тази CMK. Този ключ вече не се използва за шифроване. Зададено е време за живеене на ключ, след което този ключ се премахва от HSM.
- Анулиран
-
Webex не използва тази CMK. Дори да има данни и ключове, които са шифровани с този ключ, Webex не може да го използва за дешифриране на данните и ключовете.
- Трябва да анулирате активен ключ само ако подозирате, че е компрометиран. Това е сериозно решение, защото пречи на много операции да се държат правилно. Например няма да можете да създавате нови места и няма да можете да дешифрирате съдържание в клиента на Webex.
- В това състояние може да има само един ключ. Трябва да активирате повторно този ключ, за да ротирате (шифровате отново) нов ключ.
- Това CMK може да бъде изтрито, но не е необходимо да го изтривате. Може да искате да го запазите за дешифриране/повторно шифроване, след като разрешите предполагаемото нарушение на защитата.
- Изтрито
-
Webex не използва тази CMK. Поведението в това състояние е същото като при анулирано, с изключение на зададеното време за живот на ключа, след което този ключ се премахва от HSM.
- Ако изтрито CMK премине към премахнато състояние, трябва да възстановите оригиналния ключ, за да възстановите функционалността в организацията.
- Препоръчваме ви да запазите архивно копие на първоначалния си ключ, в противен случай организацията ви вече няма да функционира.
- Премахнато
-
Това е логично състояние. Webex няма съхранено това CMK в HSM. Не се показва в Control Hub.
Собственост
Като притежавате CMK, трябва да:
- Поемете отговорност за защитеното създаване и архивиране на вашите ключове
- Разберете последствията от загубата на ключове
- Шифровайте отново активната си CMK поне веднъж годишно като най-добра практика
Създаване на ключ
Трябва да създадете свой собствен CMK, като използвате тези параметри. Ключът трябва да бъде:
- 256 бита (32 байта) дълга
- Шифровано със схемата RSA-OAEP
- Шифрован с публичен ключ на HSM в облака на Webex
Вашият софтуер за генериране на ключове трябва да може да:
- Хеш функция SHA-256
- Функция за генериране на маска MGF1
- PKCS#1 OAEP полета
Вижте Пример: Създайте и шифровайте ключове с OpenSSL в раздела „Ресурси“ в тази статия.
Удостоверяване
Трябва да имате достъп до вашата организация в Webex в Control Hub. Трябва да сте пълен администратор , за да управлявате своята CMK.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . За да активирате BYOK, превключете Включване на собствен ключ (BYOK) . Ако деактивирате BYOK, общият ключ по подразбиране на Webex се превръща в главен ключ за вашата организация. |
| 3 |
Изберете Качване на персонализиран ключ и щракнете върху Напред. |
| 4 |
Щракнете върху Изтегляне на публичен ключ. Запишете публичния ключ на Webex HSM в .pem файл на вашата локална система. |
| 5 |
Създайте криптографски защитен 256-битов (32 байта) случаен ключ с помощта на вашия софтуер за управление на ключове. |
| 6 |
Използвайте публичния ключ на Webex HSM, за да шифровате новия си ключ. Задължителните параметри за шифроване са:
Вижте Пример: Създайте и шифровайте ключове с OpenSSL в раздела „Ресурси“ в тази статия.
|
| 7 |
Плъзнете шифрования ключ от файловата си система и го пуснете в областта за качване на интерфейса на Control Hub или щракнете върху Избор на файл. |
| 8 |
Щракнете върху Напред. Webex качва вашия ключ в HSM, където той се дешифрира и валидира. След това Control Hub ви показва ИД на вашата нова CMK и ИД на текущо активната CMK, ако има такава. Ако това е първият ви CMK, текущо активният ключ е общият ключ по подразбиране за Webex (този, който в момента използваме за шифроване на ключовете на вашата организация). |
| 9 |
Изберете как искате да активирате ключа си:
|
Какво да направите след това
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . |
| 3 |
Отидете в активния CMK. |
| 4 |
Щракнете върху |
| 5 |
Създайте и шифровайте нов ключ (ако още не сте го направили). Процесът е описан в Създаване и активиране на главния ключ на вашия клиент в тази статия.
|
| 6 |
Плъзнете новия ключ от файловата си система и го пуснете в Control Hub. |
| 7 |
Щракнете върху Активиране на нов ключ. Новият ключ, който сте качили, влиза в активно състояние. Старият CMK остава в ротация (състояние на повторно шифроване), докато Webex не завърши шифроването на цялото му съдържание с новия активен CMK. След повторно шифроване ключът се премества в състояние „С изтекъл срок“. След това Webex изтрива стария CMK. |
и изберете | 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . |
| 3 |
Към активния ключ. |
| 4 |
Щракнете върху |
| 5 |
Потвърдете отмяната на ключа. Пълното анулиране на ключа ви отнема до 10 минути.
|
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . |
| 3 |
Към текущо анулирания ключ. |
| 4 |
Щракнете върху |
| 5 |
Потвърдете активирането на ключа. Анулираният преди това ключ преминава в активно състояние.
|
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . |
| 3 |
Към анулирания ключ. |
| 4 |
Щракнете върху |
| 5 |
Потвърдете изтриването на ключа. След изтриване имате възможност да възстановите ключа в рамките на 30 дни.
|
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . |
| 3 |
Към изтрития ключ. |
| 4 |
Щракнете върху |
| 5 |
Потвърдете възстановяването на ключа. След като бъде възстановен, Control Hub ви показва ключа в състояние „Анулиран“, преди да бъде изтрит. Ако например изтриете анулиран ключ и след това го възстановите, Control Hub показва възстановения ключ в състояние „Анулиран“.
|
Собственост
Като притежавате своя ключ за AWS KMS, трябва да:
- Поемете отговорност за защитеното създаване и архивиране на вашите KMS ключове на AWS.
- Разберете последствията от загубата на вашите KMS ключове в AWS.
- Шифровайте отново активния си AMS KMS ключ поне веднъж годишно като най-добра практика.
Удостоверяване
- Трябва да сте упълномощени да създавате и управлявате ключовете си в AWS KMS за вашата организация в Webex.
- Трябва да имате достъп до вашата организация в Webex в Control Hub. Трябва да сте пълен администратор , за да управлявате своя KMS ключ за AWS.
| 1 |
Влезте в AWS и отидете в конзолата на AWS KMS. |
| 2 |
Изберете Ключове, управлявани от клиента и след това щракнете върху Създаване на ключ. |
| 3 |
Създайте ключа със следните атрибути:
|
| 4 |
Щракнете върху Напред. |
| 5 |
Прегледайте настройките си и щракнете върху Край. Вашият KMS ключ за AWS е създаден.
|
| 6 |
Отидете на Ключове, управлявани от клиента и щракнете върху псевдонима или ИД на ключ, за да видите ARN. |
Какво да направите след това
Препоръчваме ви да запазите временно копие на ARN. Този ARN се използва за добавяне и активиране на вашия KMS ключ в Control Hub.
| 1 |
Влезте в AWS и отидете в конзолата на AWS CloudShell. |
| 2 |
Изпълнете ARN на ПОТРЕБИТЕЛ НА KMS_CISCO_KMS_ е специфичен за вашата организация. ARN се показва в прозореца „Добавяне на вашия ключ за AWS“, когато активирате новия си AWK KMS ключ в контролния център. |
Преди да започнете
Трябва да създадете AWS KMS ключ, преди да го активирате в Control Hub. Вижте Създаване на KMS ключ в AWS в тази статия.
Трябва да предоставите на Webex достъп до KMS ключа AWS. В тази статия вижте Упълномощаване на Cisco KMS с достъп до KMS ключа на AWS .
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на и превключете Включване на собствен ключ (BYOK) . Ако деактивирате BYOK, общият ключ по подразбиране на Webex се превръща в главен ключ за вашата организация. |
| 3 |
Изберете Добавяне на KMS ключ в AWS и щракнете върху Напред. |
| 4 |
Вземете ARN от конзолата на AWS. |
| 5 |
Въведете ARN в Control Hub и щракнете върху Добавяне. Вашият ARN на ключа се качва в Cisco KMS, където достъпът до ключа е потвърден. След това Control Hub ви показва ИД на ключа Cisco KMS на новия ви KMS ключ AWS и активния в момента ИД на ключа Cisco KMS, ако има такъв. Ако това е първият ви ключ AWS KMS, текущо активният ключ е общ ключ по подразбиране за Webex (този, който в момента използваме за шифроване на ключовете на вашата организация). |
| 6 |
Изберете как искате да активирате ключа си:
|
| 1 |
Влезте в Control Hub и отидете на . |
| 2 |
Към активния KMS ключ в AWS. |
| 3 |
Щракнете върху |
| 4 |
Въведете своя нов KMS ключ и нов ARN и щракнете върху Добави. Процесът е описан в Добавяне и активиране на вашия AMS KMS ключ в тази статия.
|
| 5 |
Кликнете върху Активиране. Новият качен ключ AWS KMS влиза в активно състояние. Старият AWS KMS ключ остава в състояние на ротация, докато Webex не завърши шифроването на цялото си съдържание с новия активен AWS KMS ключ. След повторно шифроване старият AWS KMS ключ автоматично изчезва от Control Hub. |
| 1 |
Влезте в Control Hub и отидете на . |
| 2 |
Щракнете върху Добавяне на друг ключ. |
| 3 |
Въведете новия си ключ за AWS KMS и щракнете върху Добавяне. Control Hub ви показва ИД на ключа за Cisco KMS на новия ви AWS KMS ключ и ИД на текущо активния ИД на ключа за Cisco KMS. Процесът е описан в Добавяне и активиране на вашия AMS KMS ключ в тази статия. |
| 4 |
Кликнете върху Активиране. Новият качен ключ AWS KMS влиза в активно състояние. Старият AWS KMS ключ остава в състояние на ротация, докато Webex не завърши шифроването на цялото си съдържание с новия активен AWS KMS ключ. След повторно шифроване старият AWS KMS ключ автоматично изчезва от Control Hub. |
| 1 |
Влезте в Control Hub и отидете на . |
| 2 |
Към текущо активния ключ за AWS KMS. |
| 3 |
Щракнете върху |
| 4 |
Потвърдете отмяната на ключа. Пълното анулиране на ключа ви отнема до 10 минути. Ключът AWS KMS влиза в локално анулирано състояние.
|
Ако администраторът на клиента отмени ключа от конзолата на AWS KMS, тогава ключът AWS KMS се показва в състоянието „Анулиран от Amazon“ в контролния център.
| 1 |
Влезте в Control Hub и отидете на . |
| 2 |
Към анулирания KMS ключ в AWS. |
| 3 |
Щракнете върху |
| 4 |
Потвърдете изтриването на ключа. След изтриване можете да възстановите ключа в рамките на 30 дни. |
Препоръчваме първо да изтриете AWS KMS ключа от Control Hub, преди да изтриете своя CMK от конзолата на AWS. Ако изтриете своя CMK от конзолата на AWS, преди да изтриете AWS KMS ключа в Control Hub, може да срещнете проблеми.
Уверете се, че ключът AWS KMS вече не се вижда в Control Hub, преди да изтриете CMK от конзолата на AWS.
| 1 |
Влезте в Control Hub и отидете на . |
| 2 |
Към изтрития KMS ключ в AWS. |
| 3 |
Щракнете върху |
| 4 |
Потвърдете възстановяването на ключа. След като бъде възстановен, Control Hub ви показва ключа в състояние „Анулиран“. |
Ако срещнете проблеми с вашия AWS KMS ключ, използвайте следната информация, за да го отстраните.
-
ARN на ключа KMS в AWS. Например
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Състояние на ключа в AWS KMS. Например AWS KMS ключът е деактивиран.
Този пример използва версия 3.0 на инструментите в командния ред OpenSSL. Вижте OpenSSL за повече информация относно тези инструменти.
| 1 |
Влезте в контролния хъб. |
| 2 |
Отидете на . |
| 3 |
Щракнете върху Изтегляне на публичен ключ. Получавате публичния ключ на Webex HSM в .pem файл на вашата локална система. |
| 4 |
Създаване на 256-битов (32-байтов) ключ: Примерът използва името на файла main_key.bin за вашия нешифрован нов ключ. Като алтернатива, можете да генерирате 32-битова случайна стойност, като използвате шестнадесетично разтоварване, Python или онлайн генератори. Можете също да създадете и управлявате своя AWS KMS ключ. |
| 5 |
Използвайте публичния ключ на Webex HSM, за да шифровате новия си ключ: Примерът използва името на файла main_key_encrypted.bin за шифрования изходен ключ и името на файла path/to/public.pem за публичния ключ на Webex. Шифрованият ключ е готов за качване в Control Hub. |
