Управлявайте собствения си клиентски основен ключ

Относно основните ключове на клиента

Като част от нашия ангажимент за сигурност от край до край, Webex държи основен ключ от името на всяка организация. Наричаме го основен ключ, защото не криптира директно съдържанието, но се използва за криптиране на другите ключове на вашата организация, които криптират съдържанието. Базовото ниво на йерархията на ключовете се нарича ключ за съдържание (CK), а междинните нива на ключовете се наричат ключове за криптиране на ключове (KEK).

Ние осъзнаваме, че някои организации предпочитат да управляват собствената си сигурност, така че ви даваме възможност да управлявате собствения си клиентски основен ключ (CMK). Това означава, че вие поемате отговорност за създаване и завъртане (прекриптиране) на основния ключ, който Webex използва за криптиране на вашите ключове за криптиране на съдържанието.

Продължавайки напред, ключът се отнася до CMK, освен ако не е посочено друго.

Как работи

Webex съхранява вашия CMK в хардуерен модул за защита (HSM), така че услугите на Webex да нямат достъп до стойността на CMK.
Control Hub показва вашия в момента активен или отменен CMK и всички чакащи CMK, които се съхраняват в HSM. Когато трябва да завъртите (прекриптирате) CMK, вие генерирате своя нов CMK и го криптирате с публичния ключ на HSM, така че само HSM да може да го декриптира и съхранява.
След това качвате и активирате новия CMK в Control Hub. Webex незабавно започва да използва новия CMK за криптиране на вашите ключове за съдържание. Webex запазва стария CMK, но само докато не е сигурен, че вашите ключове за криптиране на съдържанието са защитени от новия CMK.

Ние не криптираме повторно цялото съществуващо съдържание със задна дата. След като активирате своя CMK, цялото ново съдържание (Пространства и срещи) се криптира повторно и се защитава.

Относно ключовете на AWS KMS

Ние осъзнаваме, че някои организации предпочитат да управляват собствения си ключ извън Webex. Ето защо ви даваме възможността да управлявате свой собствен CMK в услугата за управление на ключове (KMS) на Amazon интернет Services (AWS). Това означава, че вие носите отговорност за управлението на вашите ключове в AWS KMS. Вие упълномощавате Webex да криптира и декриптира с помощта на вашия AWS KMS ключ през конзолата на AWS. Вие предоставяте на Webex вашия AWS KMS ключ ИД вместо вашия CMK. Това означава, че вие поемате отговорност за създаване и завъртане (прекриптиране) на AWS KMS ключа, който Webex използва за криптиране на вашите ключове за криптиране на съдържание в облака.

Как работи

Вие създавате ключ с AWS. AWS KMS се използва за управление на вашия ключ и съхранява ключа в хардуерен модул за сигурност (HSM).
Вие предоставяте на Webex достъп за използване на AWS KMS ключа през конзолата на AWS.

Това означава, че вместо да качвате своя CMK в Control Hub, вие предоставяте на Webex достъп до ключа на AWS KMS. Ключът AWS KMS не напуска вашия AWS KMS и услугите на Webex нямат достъп до материала на AWS KMS.

Control Hub показва вашия в момента активен или отменен AWS KMS ключ и всички чакащи AWS KMS ключове, които се съхраняват в AWS KMS. Когато трябва да завъртите ключа AWS KMS, вие генерирате своя нов AWS KMS ключ с конзолата на AWS KMS.
След това добавяте и активирате новия ключ на AWS KMS в Control Hub, като му предоставяте името на ресурса на Amazon (ARN) на новия ключ на AWS KMS. Webex незабавно започва да използва новия AWS KMS ключ за криптиране на вашите ключове за съдържание. Webex вече не изисква стария ключ на AWS KMS. Старият ключ на AWS KMS ще изчезне от Control Hub, след като вашите ключове за криптиране на съдържание бъдат завъртени и защитени от новия ключ на AWS KMS. Webex не изтрива ключа AWS KMS от AWS KMS. Администраторът на вашия клиент може да премахне ключа от AWS KMS.

Ключови състояния и жизнен цикъл

Ключов жизнен цикъл

Дефиниции на ключови състояния

В очакване

Ключ в това състояние се съхранява в HSM, но все още не се използва за криптиране. Webex не използва този CMK за криптиране.

Само един ключ може да бъде в това състояние.

Активен

В момента Webex използва този CMK за криптиране на други ключове за вашата организация.

Само един ключ може да бъде в това състояние.

ротация

Webex временно използва този CMK. Webex се нуждае от него, за да декриптира вашите данни и ключове, които преди това са били криптирани с този ключ. Този ключ се оттегля, когато ротацията (прекриптирането) приключи.

Няколко клавиша могат да бъдат в това състояние, ако нов ключ е активиран преди завъртането да е завършено.

пенсиониран

Webex не използва този CMK. Този ключ вече не се използва за криптиране. Задава се ключово време за живот, след което този ключ се премахва от HSM.

Отменено

Webex не използва този CMK. Дори ако има данни и ключове, които са били криптирани с този ключ, Webex не може да го използва за декриптиране на данните и ключовете.

Трябва само да отмените активен ключ, ако подозирате, че е компрометиран. Това е сериозно решение, защото пречи на много операции да се държат правилно. Например, няма да можете да създавате нови пространства и няма да можете да дешифрирате каквото и да е съдържание в Webex Client.
Само един ключ може да бъде в това състояние. Трябва да активирате отново този ключ, за да завъртите (прешифровате) нов ключ.
Този CMK може да бъде изтрит, но не е необходимо да го изтривате. Може да искате да го запазите за декриптиране / повторно криптиране, след като разрешите предполагаемото нарушение на сигурността.

Изтрито

Webex не използва този CMK. Поведението в това състояние е същото като състоянието Revoked, с изключение на това, че е зададено време на живот на ключа, след което този ключ се премахва от HSM.

Ако изтрит CMK прогресира до състояние Премахнато, трябва да възстановите оригиналния ключ, за да възстановите функционалността на организацията.

Препоръчваме ви да запазите резервно копие на оригиналния си ключ, в противен случай вашата организация вече няма да функционира.

Премахнато

Това е логично състояние. Webex няма този CMK, съхранен в HSM. Не се показва в Control Hub.

Изисквания

Собственост

Поемайки собствеността върху вашия CMK, вие трябва:

Поемете отговорност за сигурното създаване и архивиране на вашите ключове
Разберете последствията от загубата на ключове
Решифрирайте вашия активен CMK поне веднъж годишно като най-добра практика

Създаване на ключ

Трябва да създадете свой собствен CMK, като използвате тези параметри. Вашият ключ трябва да бъде:

Дължина 256 бита (32 байта).
Криптирано със схемата RSA-OAEP
Криптирано с публичния ключ HSM в облака Webex

Вашият софтуер за генериране на ключове трябва да може да:

SHA-256 хеш функция
Функция за генериране на маска MGF1
PKCS#1 OAEP запълване

Отнесете се към пример: Създавайте и криптирайте ключове с OpenSSL в раздела Ресурси в тази статия.

Удостоверяване

Трябва да имате достъп до вашата Webex организация в Control Hub. Вие трябва да сте а пълен администратор за да управлявате вашия CMK.

Създайте и активирайте своя основен ключ на клиента

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление . За да активирате BYOK, превключете Носете свой собствен ключ (BYOK) на. Ако деактивирате BYOK, Общ ключ по подразбиране на Webex се превръща в основен ключ за вашата организация.
3	Изберете Качете персонализиран ключ и щракнете Следваща .
4	Щракнете върху Изтеглете публичен ключ . Запазете публичния ключ Webex HSM в .pem файл на вашата локална система.
5	Създайте криптографски защитен 256-битов (32 байта) произволен ключ с помощта на вашия софтуер за управление на ключове.
6	Използвайте публичния ключ Webex HSM, за да шифровате новия си ключ. Необходимите параметри за криптиране са: Схема RSA-OAEP SHA-256 хеш функция Функция за генериране на маска MGF1 PKCS#1 OAEP запълване Отнесете се към пример: Създавайте и криптирайте ключове с OpenSSL в раздела Ресурси в тази статия.
7	Плъзнете криптирания ключ от вашата файлова система и го пуснете в областта за качване на интерфейса на Control Hub или щракнете върху Изберете файл .
8	Щракнете върху Напред. Webex качва вашия ключ в HSM, където той се декриптира и потвърждава. След това Control Hub ви показва ИД на вашия нов CMK и ИД на текущо активния CMK, ако има такъв. Ако това е първият ви CMK, активният в момента ключ е Общ ключ по подразбиране на Webex (този, който в момента използваме за криптиране на ключовете на вашата организация).
9	Изберете как искате да активирате своя ключ: Активирайте нов ключ : Новият CMK незабавно преминава в активно състояние. Предишният активен CMK преминава в ротация (състояние на повторно криптиране), докато цялото ви съдържание не бъде защитено от новия CMK, след което Webex изтрива по-рано активния CMK. Активирайте по-късно : Новият CMK се премества в чакащо състояние. Webex запазва този CMK в HSM, но все още не го използва. Webex продължава да използва активния в момента CMK за криптиране на ключовете на вашата организация.

Какво да направите след това

Ние не криптираме повторно цялото съществуващо съдържание със задна дата. След като активирате своя CMK, цялото ново съдържание (Пространства и срещи) ще бъде повторно криптирано и защитено.

Завъртете ключа

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление .
3	Отидете до активния CMK.
4	Щракнете върху и изберете Завъртете .
5	Създайте и криптирайте нов ключ (ако все още не сте го направили). Процесът е описан в Създайте и активирайте своя основен ключ на клиента в тази статия.
6	Плъзнете новия ключ от вашата файлова система и го пуснете в Control Hub.
7	Щракнете върху Активирайте нов ключ . Новият ключ, който сте качили, преминава в активно състояние. Старият CMK остава в ротация (състояние на повторно криптиране), докато Webex завърши криптирането на цялото си съдържание с новия Active CMK. След повторно криптиране, ключът се премества в Retired състояние. След това Webex изтрива стария CMK.

Отменете ключа си

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление .
3	Отидете до активния ключ.
4	Щракнете върху и изберете Отмяна .
5	Потвърдете отмяната на ключа. Може да отнеме до 10 минути, за да отмените напълно вашия ключ.

Активирайте отново вашия анулиран ключ

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление .
3	Отидете на текущо анулирания ключ.
4	Щракнете върху и изберете Активирайте .
5	Потвърдете активирането на ключа. Преди това анулираният ключ преминава в активно състояние.

Изтрийте анулирания си ключ

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление .
3	Отидете до анулирания ключ.
4	Щракнете върху и изберете Изтрийте .
5	Потвърдете изтриването на ключа. След като бъде изтрит, имате възможност да възстановите ключа в рамките на 30 дни.

Възстановете отнетия си ключ

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление .
3	Отидете до изтрития ключ.
4	Щракнете върху и изберете Възстановяване на изтриването .
5	Потвърдете възстановяването на ключа. Веднъж възстановен, Control Hub ви показва ключа в състояние „Отменено“, преди да бъде изтрит. Например, ако изтриете анулиран ключ и след това възстановите ключа, Control Hub показва възстановения ключ в състояние на оттегляне.

Изисквания

Собственост

Поемайки собствеността върху своя AWS KMS ключ, трябва:

Поемете отговорност за сигурното създаване и архивиране на вашите AWS KMS ключове.
Разберете последствията от загубата на вашите AWS KMS ключове.
Решифрирайте вашия активен AMS KMS ключ поне веднъж годишно като най-добра практика.

Удостоверяване

Трябва да сте упълномощени да създавате и управлявате ключовете си в AWS KMS за вашата организация Webex .
Трябва да имате достъп до вашата Webex организация в Control Hub. Вие трябва да сте а пълен администратор за да управлявате вашия AWS KMS ключ.

Създайте AWS KMS ключ

1	Влезте в AWS и отидете на AWS KMS конзолата.
2	Изберете Ключове, управлявани от клиента и след това щракнете Създайте ключ .
3	Създайте ключа със следните атрибути: Тип ключ — Изберете Симетрично . Използване на клавиша — Изберете Шифроване и декриптиране . Етикети—Въведете псевдоним, описание и етикети. Ключови администратори – Изберете потребители и роли на ключови администратори на вашата организация. Изтриване на ключ — Проверете Позволете на администраторите на ключове да изтрият този ключ . Ключови потребители – Изберете ключовите потребители и роли на вашата организация.
4	Щракнете върху Напред.
5	Прегледайте настройките си и щракнете Край . Вашият AWS KMS ключ е създаден.
6	Отидете на Ключове, управлявани от клиента и щракнете върху псевдонима или ИД на ключ, за да видите ARN.

Какво да направите след това

Препоръчваме ви да запазите временно копие на ARN. Този ARN се използва за добавяне и активиране на вашия AWS KMS ключ в Control Hub.

Оторизирайте Cisco KMS с достъп до ключа на AWS KMS

Влезте в AWS и отидете на конзолата на AWS CloudShell.

Изпълнете create-grant да упълномощи Webex , както следва:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Например:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

На KMS_CISCO_USER_ARN е специфично за вашата организация. ARN се показва в прозореца Добавяне на вашия AWS ключ, когато активирате новия си AWK KMS ключ в Control Hub.

Добавете и активирайте своя AWS KMS ключ

Преди да започнете

Трябва да създадете AWS KMS ключ, преди да го активирате в Control Hub. Отнесете се към Създайте AWS KMS ключ в тази статия.

Трябва да предоставите на Webex достъп до AWS KMS ключа. Отнесете се към Оторизирайте Cisco KMS с достъп до ключа на AWS KMS в тази статия.

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление , и превключете Носете свой собствен ключ (BYOK) на. Ако деактивирате BYOK, Общ ключ по подразбиране на Webex се превръща в основен ключ за вашата организация.
3	Изберете Добавете AWS KMS ключ и щракнете Следваща .
4	Вземете ARN от конзолата на AWS.
5	Въведете ARN в Control Hub и щракнете Добавете . Вашият ключ ARN се качва в Cisco KMS, където достъпът до ключа се потвърждава. След това Control Hub ви показва ИД на ключ на Cisco KMS на вашия нов ключ за AWS KMS и активния в момента Cisco KMS ключ ИД, ако има такъв. Ако това е първият ви AWS KMS ключ, активният в момента ключ е Общ ключ по подразбиране на Webex (този, който в момента използваме за криптиране на ключовете на вашата организация).
6	Изберете как искате да активирате своя ключ: Активирайте : Новият ключ на AWS KMS незабавно преминава в активно състояние. Активирайте по-късно : Новият ключ на AWS KMS се премества в състояние на изчакване. Webex запазва този ключ ARN на AWS KMS в Cisco KMS, но все още не го използва. Webex продължава да използва активния в момента AWS KMS ключ за криптиране на ключовете на вашата организация.

Завъртете вашия AWS KMS ключ

1	Влезте в Контролен център , и отидете на Настройки на организацията > Ключово управление .
2	Отидете до активния ключ на AWS KMS.
3	Щракнете върху и изберете Завъртете .
4	Въведете вашия нов AWS KMS ключ и нов ARN и щракнете Добавете . Процесът е описан в Добавете и активирайте вашия AMS KMS ключ в тази статия.
5	Щракнете върху Активирай. Новият AWS KMS ключ, който сте качили, преминава в активно състояние. Старият AWS KMS ключ остава в ротационно състояние, докато Webex завърши криптирането на цялото си съдържание с новия активен AWS KMS ключ. След повторно криптиране старият ключ на AWS KMS автоматично изчезва от Control Hub.

Завъртете, за да добавите друг AWS KMS ключ (по избор)

1	Влезте в Контролен център , и отидете на Настройки на организацията > Ключово управление .
2	Щракнете върху Добавете друг ключ .
3	Въведете своя нов AWS KMS ключ и щракнете Добавете . Control Hub ви показва ИД на ключ Cisco KMS на вашия нов AWS KMS ключ и ИД на активния в момента ключ Cisco ИД. Процесът е описан в Добавете и активирайте вашия AMS KMS ключ в тази статия.
4	Щракнете върху Активирай. Новият AWS KMS ключ, който сте качили, преминава в активно състояние. Старият AWS KMS ключ остава в ротационно състояние, докато Webex завърши криптирането на цялото си съдържание с новия активен AWS KMS ключ. След повторно криптиране старият ключ на AWS KMS автоматично изчезва от Control Hub.

Отменете своя AWS KMS ключ

1	Влезте в Контролен център , и отидете на Настройки на организацията > Ключово управление .
2	Отидете до активния в момента AWS KMS ключ.
3	Щракнете върху и изберете Локално оттегляне .
4	Потвърдете отмяната на ключа. Може да отнеме до 10 минути, за да отмените напълно вашия ключ. Ключът AWS KMS преминава в състояние на локално оттеглено.

Ако администраторът на вашия клиент отмени ключа от конзолата на AWS KMS, тогава ключът на AWS KMS се показва в състоянието Отменено от Amazon в Control Hub.

Изтрийте своя AWS KMS ключ

1	Влезте в Контролен център , и отидете на Настройки на организацията > Ключово управление .
2	Отидете до анулирания ключ на AWS KMS.
3	Щракнете върху и изберете Изтрийте .
4	Потвърдете изтриването на ключа. След като бъде изтрит, можете да възстановите ключа в рамките на 30 дни.

Препоръчваме ви първо да изтриете ключа AWS KMS от Control Hub, преди да изтриете своя CMK от конзолата на AWS. Ако изтриете своя CMK от конзолата на AWS, преди да изтриете ключа на AWS KMS в Control Hub, може да срещнете проблеми.

Уверете се, че ключът AWS KMS вече не се вижда в Control Hub, преди да изтриете своя CMK от конзолата на AWS.

Възстановете вашия AWS KMS ключ

1	Влезте в Контролен център , и отидете на Настройки на организацията > Ключово управление .
2	Отидете до изтрития ключ на AWS KMS.
3	Щракнете върху и изберете Възстановяване на изтриването .
4	Потвърдете възстановяването на ключа. Веднъж възстановен, Control Hub ви показва ключа в състояние „Отменено“.

Отстранете неизправности с вашия AWS KMS ключ

Ако срещнете проблеми с вашия AWS KMS ключ, използвайте следната информация, за да го отстраните.

AWS KMS ключ ARN. Например, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Предоставяне на ключа на AWS KMS .
Ключово състояние на AWS KMS. Например ключът AWS KMS е деактивиран.

Пример: Създавайте и криптирайте ключове с OpenSSL

Този пример използва версия 3.0 на инструментите на командния ред OpenSSL. Виж OpenSSL за повече информация за тези инструменти.

1	Влезте в Контролен център .
2	Отидете на Настройки на организацията > Ключово управление .
3	Щракнете върху Изтеглете публичен ключ . Получавате публичния ключ Webex HSM в .pem файл на вашата локална система.
4	Създайте 256-битов (32 байтов) ключ: `openssl rand 32 -out main_key.bin` Примерът използва името на файлаmain_key .bin за вашия нов нешифрован ключ.
5	Използвайте публичния ключ Webex HSM, за да шифровате новия си ключ: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Примерът използва името на файлаmain_key_encrypted .bin за криптирания изходен ключ и името на файла път/до/public.pem за публичния ключ на Webex . Криптираният ключ е готов за качване в Control Hub.