Webex е защитен по подразбиране и ние държим основен ключ за криптиране на всички ключове за криптиране на вашата организация. Ако предпочитате да контролирате главния ключ на вашата организация, можете да го направите с Control Hub и предпочитаните от вас инструменти за управление на ключове.
Като част от нашия ангажимент за сигурност от край до край, Webex държи основен ключ от името на всяка организация. Наричаме го основен ключ, защото не криптира директно съдържанието, но се използва за криптиране на другите ключове на вашата организация, които криптират съдържанието. Базовото ниво на йерархията на ключовете се нарича ключ за съдържание (CK), а междинните нива на ключовете се наричат ключове за криптиране на ключове (KEK).
Ние осъзнаваме, че някои организации предпочитат да управляват собствената си сигурност, така че ви даваме възможност да управлявате собствения си клиентски основен ключ (CMK). Това означава, че вие поемате отговорност за създаване и завъртане (прекриптиране) на основния ключ, който Webex използва за криптиране на вашите ключове за криптиране на съдържанието.
Продължавайки напред, ключът се отнася до CMK, освен ако не е посочено друго.
Как работи
Webex съхранява вашия CMK в хардуерен модул за защита (HSM), така че услугите на Webex да нямат достъп до стойността на CMK.
Control Hub показва вашия в момента активен или отменен CMK и всички чакащи CMK, които се съхраняват в HSM. Когато трябва да завъртите (прекриптирате) CMK, вие генерирате своя нов CMK и го криптирате с публичния ключ на HSM, така че само HSM да може да го декриптира и съхранява.
След това качвате и активирате новия CMK в Control Hub. Webex незабавно започва да използва новия CMK за криптиране на вашите ключове за съдържание. Webex запазва стария CMK, но само докато не е сигурен, че вашите ключове за криптиране на съдържанието са защитени от новия CMK.
Ние не криптираме повторно цялото съществуващо съдържание със задна дата. След като активирате своя CMK, цялото ново съдържание (Пространства и срещи) се криптира повторно и се защитава. |
Ние осъзнаваме, че някои организации предпочитат да управляват собствения си ключ извън Webex. Ето защо ви даваме възможността да управлявате свой собствен CMK в услугата за управление на ключове (KMS) на Amazon интернет Services (AWS). Това означава, че вие носите отговорност за управлението на вашите ключове в AWS KMS. Вие упълномощавате Webex да криптира и декриптира с помощта на вашия AWS KMS ключ през конзолата на AWS. Вие предоставяте на Webex вашия AWS KMS ключ ИД вместо вашия CMK. Това означава, че вие поемате отговорност за създаване и завъртане (прекриптиране) на AWS KMS ключа, който Webex използва за криптиране на вашите ключове за криптиране на съдържание в облака.
Как работи
Вие създавате ключ с AWS. AWS KMS се използва за управление на вашия ключ и съхранява ключа в хардуерен модул за сигурност (HSM).
Вие предоставяте на Webex достъп за използване на AWS KMS ключа през конзолата на AWS.
Това означава, че вместо да качвате своя CMK в Control Hub, вие предоставяте на Webex достъп до ключа на AWS KMS. Ключът AWS KMS не напуска вашия AWS KMS и услугите на Webex нямат достъп до материала на AWS KMS.
Control Hub показва вашия в момента активен или отменен AWS KMS ключ и всички чакащи AWS KMS ключове, които се съхраняват в AWS KMS. Когато трябва да завъртите ключа AWS KMS, вие генерирате своя нов AWS KMS ключ с конзолата на AWS KMS.
След това добавяте и активирате новия ключ на AWS KMS в Control Hub, като му предоставяте името на ресурса на Amazon (ARN) на новия ключ на AWS KMS. Webex незабавно започва да използва новия AWS KMS ключ за криптиране на вашите ключове за съдържание. Webex вече не изисква стария ключ на AWS KMS. Старият ключ на AWS KMS ще изчезне от Control Hub, след като вашите ключове за криптиране на съдържание бъдат завъртени и защитени от новия ключ на AWS KMS. Webex не изтрива ключа AWS KMS от AWS KMS. Администраторът на вашия клиент може да премахне ключа от AWS KMS.
Ключов жизнен цикъл
Дефиниции на ключови състояния
- В очакване
-
Ключ в това състояние се съхранява в HSM, но все още не се използва за криптиране. Webex не използва този CMK за криптиране.
Само един ключ може да бъде в това състояние. - Активен
-
В момента Webex използва този CMK за криптиране на други ключове за вашата организация.
Само един ключ може да бъде в това състояние. - ротация
-
Webex временно използва този CMK. Webex се нуждае от него, за да декриптира вашите данни и ключове, които преди това са били криптирани с този ключ. Този ключ се оттегля, когато ротацията (прекриптирането) приключи.
Няколко клавиша могат да бъдат в това състояние, ако нов ключ е активиран преди завъртането да е завършено. - пенсиониран
-
Webex не използва този CMK. Този ключ вече не се използва за криптиране. Задава се ключово време за живот, след което този ключ се премахва от HSM.
- Отменено
-
Webex не използва този CMK. Дори ако има данни и ключове, които са били криптирани с този ключ, Webex не може да го използва за декриптиране на данните и ключовете.
- Трябва само да отмените активен ключ, ако подозирате, че е компрометиран. Това е сериозно решение, защото пречи на много операции да се държат правилно. Например, няма да можете да създавате нови пространства и няма да можете да дешифрирате каквото и да е съдържание в Webex Client.
- Само един ключ може да бъде в това състояние. Трябва да активирате отново този ключ, за да завъртите (прешифровате) нов ключ.
- Този CMK може да бъде изтрит, но не е необходимо да го изтривате. Може да искате да го запазите за декриптиране / повторно криптиране, след като разрешите предполагаемото нарушение на сигурността.
- Изтрито
-
Webex не използва този CMK. Поведението в това състояние е същото като състоянието Revoked, с изключение на това, че е зададено време на живот на ключа, след което този ключ се премахва от HSM.
- Ако изтрит CMK прогресира до състояние Премахнато, трябва да възстановите оригиналния ключ, за да възстановите функционалността на организацията.
- Препоръчваме ви да запазите резервно копие на оригиналния си ключ, в противен случай вашата организация вече няма да функционира.
- Премахнато
-
Това е логично състояние. Webex няма този CMK, съхранен в HSM. Не се показва в Control Hub.
Собственост
Поемайки собствеността върху вашия CMK, вие трябва:
- Поемете отговорност за сигурното създаване и архивиране на вашите ключове
- Разберете последствията от загубата на ключове
- Решифрирайте вашия активен CMK поне веднъж годишно като най-добра практика
Създаване на ключ
Трябва да създадете свой собствен CMK, като използвате тези параметри. Вашият ключ трябва да бъде:
- Дължина 256 бита (32 байта).
- Криптирано със схемата RSA-OAEP
- Криптирано с публичния ключ HSM в облака Webex
Вашият софтуер за генериране на ключове трябва да може да:
- SHA-256 хеш функция
- Функция за генериране на маска MGF1
- PKCS#1 OAEP запълване
Отнесете се към пример: Създавайте и криптирайте ключове с OpenSSL в раздела Ресурси в тази статия.
Удостоверяване
Трябва да имате достъп до вашата Webex организация в Control Hub. Вие трябва да сте а пълен администратор за да управлявате вашия CMK.
1 | Влезте в Контролен център . |
2 | Отидете на .За да активирате BYOK, превключете Носете свой собствен ключ (BYOK) на. Ако деактивирате BYOK, Общ ключ по подразбиране на Webex се превръща в основен ключ за вашата организация. |
3 | Изберете Качете персонализиран ключ и щракнете Следваща . |
4 | Щракнете върху Изтеглете публичен ключ . Запазете публичния ключ Webex HSM в .pem файл на вашата локална система. |
5 | Създайте криптографски защитен 256-битов (32 байта) произволен ключ с помощта на вашия софтуер за управление на ключове. |
6 | Използвайте публичния ключ Webex HSM, за да шифровате новия си ключ. Необходимите параметри за криптиране са:
Отнесете се към пример: Създавайте и криптирайте ключове с OpenSSL в раздела Ресурси в тази статия.
|
7 | Плъзнете криптирания ключ от вашата файлова система и го пуснете в областта за качване на интерфейса на Control Hub или щракнете върху Изберете файл . |
8 | Щракнете върху Напред. Webex качва вашия ключ в HSM, където той се декриптира и потвърждава. След това Control Hub ви показва ИД на вашия нов CMK и ИД на текущо активния CMK, ако има такъв. Ако това е първият ви CMK, активният в момента ключ е Общ ключ по подразбиране на Webex (този, който в момента използваме за криптиране на ключовете на вашата организация). |
9 | Изберете как искате да активирате своя ключ:
|
Какво да направите след това
Ние не криптираме повторно цялото съществуващо съдържание със задна дата. След като активирате своя CMK, цялото ново съдържание (Пространства и срещи) ще бъде повторно криптирано и защитено. |
1 | Влезте в Контролен център . |
2 | Отидете на . |
3 | Отидете до активния CMK. |
4 | Щракнете върхуи изберете Завъртете . |
5 | Създайте и криптирайте нов ключ (ако все още не сте го направили). Процесът е описан в Създайте и активирайте своя основен ключ на клиента в тази статия.
|
6 | Плъзнете новия ключ от вашата файлова система и го пуснете в Control Hub. |
7 | Щракнете върху Активирайте нов ключ . Новият ключ, който сте качили, преминава в активно състояние. Старият CMK остава в ротация (състояние на повторно криптиране), докато Webex завърши криптирането на цялото си съдържание с новия Active CMK. След повторно криптиране, ключът се премества в Retired състояние. След това Webex изтрива стария CMK. |
1 | Влезте в Контролен център . |
2 | Отидете на . |
3 | Отидете до активния ключ. |
4 | Щракнете върхуи изберете Отмяна . |
5 | Потвърдете отмяната на ключа. Може да отнеме до 10 минути, за да отмените напълно вашия ключ.
|
1 | Влезте в Контролен център . |
2 | Отидете на . |
3 | Отидете на текущо анулирания ключ. |
4 | Щракнете върхуи изберете Активирайте . |
5 | Потвърдете активирането на ключа. Преди това анулираният ключ преминава в активно състояние.
|
1 | Влезте в Контролен център . |
2 | Отидете на . |
3 | Отидете до анулирания ключ. |
4 | Щракнете върхуи изберете Изтрийте . |
5 | Потвърдете изтриването на ключа. След като бъде изтрит, имате възможност да възстановите ключа в рамките на 30 дни.
|
1 | Влезте в Контролен център . |
2 | Отидете на . |
3 | Отидете до изтрития ключ. |
4 | Щракнете върхуи изберете Възстановяване на изтриването . |
5 | Потвърдете възстановяването на ключа. Веднъж възстановен, Control Hub ви показва ключа в състояние „Отменено“, преди да бъде изтрит. Например, ако изтриете анулиран ключ и след това възстановите ключа, Control Hub показва възстановения ключ в състояние на оттегляне.
|
Собственост
Поемайки собствеността върху своя AWS KMS ключ, трябва:
- Поемете отговорност за сигурното създаване и архивиране на вашите AWS KMS ключове.
- Разберете последствията от загубата на вашите AWS KMS ключове.
- Решифрирайте вашия активен AMS KMS ключ поне веднъж годишно като най-добра практика.
Удостоверяване
- Трябва да сте упълномощени да създавате и управлявате ключовете си в AWS KMS за вашата организация Webex .
- Трябва да имате достъп до вашата Webex организация в Control Hub. Вие трябва да сте а пълен администратор за да управлявате вашия AWS KMS ключ.
1 | Влезте в AWS и отидете на AWS KMS конзолата. |
2 | Изберете Ключове, управлявани от клиента и след това щракнете Създайте ключ . |
3 | Създайте ключа със следните атрибути:
|
4 | Щракнете върху Напред. |
5 | Прегледайте настройките си и щракнете Край . Вашият AWS KMS ключ е създаден.
|
6 | Отидете на Ключове, управлявани от клиента и щракнете върху псевдонима или ИД на ключ, за да видите ARN. |
Какво да направите след това
Препоръчваме ви да запазите временно копие на ARN. Този ARN се използва за добавяне и активиране на вашия AWS KMS ключ в Control Hub.
1 | Влезте в AWS и отидете на конзолата на AWS CloudShell. | ||
2 | Изпълнете Например:
|
Преди да започнете
Трябва да създадете AWS KMS ключ, преди да го активирате в Control Hub. Отнесете се към Създайте AWS KMS ключ в тази статия.
Трябва да предоставите на Webex достъп до AWS KMS ключа. Отнесете се към Оторизирайте Cisco KMS с достъп до ключа на AWS KMS в тази статия.
1 | Влезте в Контролен център . |
2 | Отидете на Носете свой собствен ключ (BYOK) на. , и превключетеАко деактивирате BYOK, Общ ключ по подразбиране на Webex се превръща в основен ключ за вашата организация. |
3 | Изберете Добавете AWS KMS ключ и щракнете Следваща . |
4 | Вземете ARN от конзолата на AWS. |
5 | Въведете ARN в Control Hub и щракнете Добавете . Вашият ключ ARN се качва в Cisco KMS, където достъпът до ключа се потвърждава. След това Control Hub ви показва ИД на ключ на Cisco KMS на вашия нов ключ за AWS KMS и активния в момента Cisco KMS ключ ИД, ако има такъв. Ако това е първият ви AWS KMS ключ, активният в момента ключ е Общ ключ по подразбиране на Webex (този, който в момента използваме за криптиране на ключовете на вашата организация). |
6 | Изберете как искате да активирате своя ключ:
|
1 | Влезте в Контролен център , и отидете на . |
2 | Отидете до активния ключ на AWS KMS. |
3 | Щракнете върхуи изберете Завъртете . |
4 | Въведете вашия нов AWS KMS ключ и нов ARN и щракнете Добавете . Процесът е описан в Добавете и активирайте вашия AMS KMS ключ в тази статия.
|
5 | Щракнете върху Активирайте . Новият AWS KMS ключ, който сте качили, преминава в активно състояние. Старият AWS KMS ключ остава в ротационно състояние, докато Webex завърши криптирането на цялото си съдържание с новия активен AWS KMS ключ. След повторно криптиране старият ключ на AWS KMS автоматично изчезва от Control Hub. |
1 | Влезте в Контролен център , и отидете на . |
2 | Щракнете върху Добавете друг ключ . |
3 | Въведете своя нов AWS KMS ключ и щракнете Добавете . Control Hub ви показва ИД на ключ Cisco KMS на вашия нов AWS KMS ключ и ИД на активния в момента ключ Cisco ИД. Процесът е описан в Добавете и активирайте вашия AMS KMS ключ в тази статия. |
4 | Щракнете върху Активирайте . Новият AWS KMS ключ, който сте качили, преминава в активно състояние. Старият AWS KMS ключ остава в ротационно състояние, докато Webex завърши криптирането на цялото си съдържание с новия активен AWS KMS ключ. След повторно криптиране старият ключ на AWS KMS автоматично изчезва от Control Hub. |
1 | Влезте в Контролен център , и отидете на . |
2 | Отидете до активния в момента AWS KMS ключ. |
3 | Щракнете върхуи изберете Локално оттегляне . |
4 | Потвърдете отмяната на ключа. Може да отнеме до 10 минути, за да отмените напълно вашия ключ. Ключът AWS KMS преминава в състояние на локално оттеглено.
|
Ако администраторът на вашия клиент отмени ключа от конзолата на AWS KMS, тогава ключът на AWS KMS се показва в състоянието Отменено от Amazon в Control Hub. |
1 | Влезте в Контролен център , и отидете на . |
2 | Отидете до анулирания ключ на AWS KMS. |
3 | Щракнете върхуи изберете Изтрийте . |
4 | Потвърдете изтриването на ключа. След като бъде изтрит, можете да възстановите ключа в рамките на 30 дни. |
Препоръчваме ви първо да изтриете ключа AWS KMS от Control Hub, преди да изтриете своя CMK от конзолата на AWS. Ако изтриете своя CMK от конзолата на AWS, преди да изтриете ключа на AWS KMS в Control Hub, може да срещнете проблеми. Уверете се, че ключът AWS KMS вече не се вижда в Control Hub, преди да изтриете своя CMK от конзолата на AWS. |
1 | Влезте в Контролен център , и отидете на . |
2 | Отидете до изтрития ключ на AWS KMS. |
3 | Щракнете върхуи изберете Възстановяване на изтриването . |
4 | Потвърдете възстановяването на ключа. Веднъж възстановен, Control Hub ви показва ключа в състояние „Отменено“. |
Ако срещнете проблеми с вашия AWS KMS ключ, използвайте следната информация, за да го отстраните.
AWS KMS ключ ARN. Например,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Ключово състояние на AWS KMS. Например ключът AWS KMS е деактивиран.
Този пример използва версия 3.0 на инструментите на командния ред OpenSSL. Виж OpenSSL за повече информация за тези инструменти.
1 | Влезте в Контролен център . |
2 | Отидете на . |
3 | Щракнете върху Изтеглете публичен ключ . Получавате публичния ключ Webex HSM в .pem файл на вашата локална система. |
4 | Създайте 256-битов (32 байтов) ключ: Примерът използва името на файлаmain_key .bin за вашия нов нешифрован ключ. Като алтернатива можете да генерирате 32-байтова произволна стойност, като използвате Hex dump, Python или онлайн генератори. Можете също така създайте и управлявайте своя AWS KMS ключ . |
5 | Използвайте публичния ключ Webex HSM, за да шифровате новия си ключ:
Примерът използва името на файлаmain_key_encrypted .bin за криптирания изходен ключ и името на файла път/до/public.pem за публичния ключ на Webex . Криптираният ключ е готов за качване в Control Hub. |