Spravujte svůj vlastní hlavní klíč zákazníka

O hlavních klíčích zákazníka

V rámci našeho závazku poskytovat komplexní zabezpečení má Webex jménem každé organizace hlavní klíč. Říkáme mu hlavní klíč, protože nešifruje obsah přímo, ale používá se k šifrování ostatních klíčů organizace, které obsah šifrují. Základní úroveň hierarchie klíčů se nazývá klíč obsahu (CK) a střední úrovně klíčů se nazývají šifrovací klíče (KEK).

Uznáváme, že některé organizace dávají přednost správě svého zabezpečení, a proto vám poskytujeme možnost spravovat svůj vlastní hlavní klíč zákazníka (CMK). To znamená, že přebíráte odpovědnost za vytvoření a rotaci (rešifrování) hlavního klíče, který služba Webex používá k šifrování šifrovacích klíčů obsahu.

Pokud není uvedeno jinak, klíč bude do budoucna odkazovat na CMK.

Jak to funguje

Webex uchovává vaši CMK v modulu hardwarového zabezpečení (HSM), takže služby Webex nemají přístup k hodnotě CMK.
Control Hub zobrazuje vaši aktuálně aktivní nebo zrušenou CMK a všechny nevyřízené CMK, které jsou uložené v HSM. Když potřebujete CMK otočit (znovu zašifrovat), vygenerujete nové CMK a zašifrovat jej pomocí veřejného klíče HSM, aby jej mohl dešifrovat a uložit pouze HSM.
Potom nahrajte a aktivujte novou kartu CMK v prostředí Control Hub. Webex začne okamžitě používat novou aplikaci CMK k šifrování klíčů obsahu. Webex si ponechává starou aplikaci CMK, ale pouze do doby, než si bude jist, že vaše klíče šifrování obsahu jsou zabezpečeny novou aplikací CMK.

Zpětně nešifrováme veškerý existující obsah. Jakmile aktivujete CMK, veškerý nový obsah (prostory a schůzky) bude znovu zašifrován a chráněn.

O klíčích AWS KMS

Uvědomujeme si, že některé organizace dávají přednost správě vlastního klíče mimo službu Webex. Proto vám dáváme možnost spravovat vlastní CMK ve službě správy klíčů (KMS) společnosti Amazon Web Services (AWS). To znamená, že jste zodpovědní za správu klíčů v AWS KMS. Autorizujete aplikaci Webex k šifrování a dešifrování pomocí klíče AWS KMS prostřednictvím konzole AWS. Aplikaci Webex poskytujete místo CMK ID klíče AWS KMS. To znamená, že přebíráte odpovědnost za vytvoření a rotaci (rešifrování) klíče AWS KMS, který služba Webex používá k šifrování šifrovacích klíčů obsahu v cloudu.

Jak to funguje

Pomocí AWS vytvoříte klíč. AWS KMS slouží ke správě klíče a ukládá jej do hardwarového bezpečnostního modulu (HSM).
Aplikaci Webex poskytujete přístup k použití klíče AWS KMS prostřednictvím konzole AWS.

To znamená, že místo nahrávání CMK do prostředí Control Hub poskytnete aplikaci Webex přístup ke klíči AWS KMS. Klíč AWS KMS nenechá vaše AWS KMS a služby Webex nemají přístup k materiálu klíče AWS KMS.

Control Hub zobrazuje váš aktuálně aktivní nebo odvolaný klíč AWS KMS a jakýkoli nevyřízený klíč AWS KMS, který je uložen v AWS KMS. Když potřebujete otočit klíč AWS KMS, vygenerujete nový klíč AWS KMS pomocí konzole AWS KMS.
Poté přidáte a aktivujete nový klíč AWS KMS v prostředí Control Hub a poskytnete mu název zdroje Amazon (ARN) nového klíče AWS KMS. Služba Webex okamžitě začne používat nový klíč AWS KMS pro šifrování klíčů obsahu. Služba Webex již nepotřebuje starý klíč AWS KMS. Starý klíč AWS KMS zmizí z centra Control Hub poté, co budou vaše šifrovací klíče obsahu otočeny a zabezpečeny novým klíčem AWS KMS. Webex neodstraňuje klíč AWS KMS z AWS KMS. Správce zákazníka může klíč odebrat z KMS AWS.

Klíčové stavy a životní cyklus

Životní cyklus klíče

Definice stavu klíče

Čeká na vyřízení

Klíč v tomto stavu je uložen v HSM, ale ještě se nepoužívá k šifrování. Webex nepoužívá tuto CMK k šifrování.

V tomto stavu může být jen jeden klíč.

Aktivní

Webex aktuálně používá tento CMK k šifrování jiných klíčů pro vaši organizaci.

V tomto stavu může být jen jeden klíč.

Rotace

Webex dočasně používá tuto CMK. Webex to potřebuje k dešifrování dat a klíčů, které byly dříve šifrovány tímto klíčem. Po dokončení rotace (rešifrování) je tento klíč vyřazen.

V tomto stavu může být více klíčů, pokud je před dokončením rotace aktivována nová klávesa.

Ve výslužbě

Webex tuto CMK nepoužívá. Tento klíč se již nepoužívá k šifrování. Je nastavena doba životnosti klíče, po jejímž uplynutí je tento klíč odebrán z HSM.

Odvoláno

Webex tuto CMK nepoužívá. I v případě, že existují data a klíče, které byly zašifrovány tímto klíčem, aplikace Webex jej nebude moci použít k dešifrování dat a klíčů.

Aktivní klíč musíte odvolat pouze v případě, že máte podezření, že byl prozrazen. Jedná se o závažné rozhodnutí, protože zabraňuje správnému chování mnoha operací. V klientovi Webex nebudete moci například vytvářet nové prostory ani dešifrovat žádný obsah.
V tomto stavu může být jen jeden klíč. Chcete-li otočit (znovu zašifrovat) nový klíč, musíte tento klíč znovu aktivovat.
Tuto CMK lze smazat, ale nemusíte ji mazat. Můžete si jej ponechat pro dešifrování / rešifrování poté, co vyřešíte podezření na narušení bezpečnosti.

Odstraněno

Webex tuto CMK nepoužívá. Chování v tomto stavu je stejné jako ve stavu Odvoláno kromě toho, že je nastavena doba životnosti klíče, načež je tento klíč odebrán z HSM.

Pokud odstraněná CMK pokročí do stavu Odebráno, musíte obnovit původní klíč, abyste organizaci obnovili funkce.

Doporučujeme si ponechat záložní kopii původního klíče, jinak již vaše organizace nebude funkční.

Odebráno

Toto je logický stav. Webex nemá tuto CMK uloženou v HSM. Nezobrazuje se v centru Control Hub.

Požadavky

Vlastnictví

Převzetím vlastnictví vaší CMK musíte:

Převezměte odpovědnost za bezpečné vytváření a zálohování vašich klíčů
Mějte na paměti, jaké důsledky může mít ztráta klíčů
Rešifrovat aktivní CMK alespoň jednou ročně jako nejlepší postup

Vytvoření klíče

Musíte vytvořit svůj vlastní CMK pomocí těchto parametrů. Klíč musí být:

256 bitů (32 bajtů) dlouhý
Šifrováno schématem RSA-OAEP
Šifrováno pomocí veřejného klíče Webex cloud HSM

Váš software pro generování klíčů musí umožňovat:

Funkce hash SHA-256
Funkce generování masky MGF1
odsazení PKCS#1 OAEP

Viz Příklad: Vytvářejte a šifrujte klíče pomocí OpenSSL na kartě Prostředky v tomto článku.

Autorizace

Musíte mít přístup ke své organizaci Webex v centru Control Hub. Musíte být a úplný správce ke správě aplikace CMK.

Vytvořte a aktivujte hlavní klíč zákazníka

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů . Chcete-li povolit BYOK, přepněte Přineste svůj vlastní klíč (BYOK) zapnuto. Pokud zakážete funkci BYOK, Společný výchozí klíč Webex se stane hlavním klíčem pro vaši organizaci.
3	Vyberte možnost Nahrát vlastní klíč a klikněte na tlačítko Další.
4	Klikněte Stáhnout veřejný klíč . Uložte veřejný klíč Webex HSM do souboru PEM v místním systému.
5	Vytvořte kryptograficky zabezpečený 256bitový (32bajtový) náhodný klíč pomocí softwaru pro správu klíčů.
6	K zašifrování nového klíče použijte veřejný klíč Webex HSM. Požadované parametry šifrování jsou následující: Schéma RSA-OAEP Funkce hash SHA-256 Funkce generování masky MGF1 odsazení PKCS#1 OAEP Viz Příklad: Vytvářejte a šifrujte klíče pomocí OpenSSL na kartě Prostředky v tomto článku.
7	Přetáhněte šifrovaný klíč ze systému souborů do oblasti nahrávání v rozhraní Control Hub nebo klikněte na Vyberte soubor .
8	Klepněte na tlačítko Další. Webex nahraje váš klíč do HSM, kde je dešifrován a ověřen. Control Hub vám zobrazí ID nové CMK a ID aktuálně aktivní CMK, pokud existuje. Pokud je to vaše první CMK, aktuálně aktivní klíč je Společný výchozí klíč Webex (ten, který v současné době používáme k šifrování klíčů vaší organizace).
9	Vyberte, jak chcete klíč aktivovat: Aktivovat nový klíč : Nová CMK okamžitě přejde do Aktivního stavu. Dříve aktivní CMK přejde do stavu rotace (rešifrování), dokud nebude veškerý váš obsah chráněn novým CMK a poté služba Webex odstraní dříve aktivní CMK. Aktivovat později : Nová CMK se přesune do stavu Vyřízeno. Webex ponechává tuto CMK v HSM, ale zatím ji nepoužívá. Webex i nadále používá aktivní aplikaci CMK k šifrování klíčů vaší organizace.

Co dělat dál

Zpětně nešifrováme veškerý existující obsah. Jakmile aktivujete CMK, veškerý nový obsah (prostory a schůzky) bude znovu zašifrován a chráněn.

Otočte klíčem

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů .
3	Přejděte na aktivní CMK.
4	Klikněte na možnost a vyberte možnost Rotovat.
5	Vytvořte a zašifrujte nový klíč (pokud jste tak ještě neudělali). Proces je popsán v Vytvořte a aktivujte hlavní klíč zákazníka v tomto článku.
6	Přetáhněte nový klíč ze systému souborů a přetáhněte jej do prostředí Control Hub.
7	Klikněte Aktivovat nový klíč . Nový klíč, který jste nahráli, se přepne do aktivního stavu. Staré CMK zůstane v rotaci (stav rešifrování), dokud Webex nedokončí šifrování veškerého svého obsahu novým aktivním CMK. Po rešifrování se klíč přesune do stavu důchodce. Webex poté odstraní starou sadu CMK.

Zrušit klíč

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů .
3	Přejděte na aktivní klíč.
4	Klikněte na možnost a vyberte možnost Odvolat.
5	Potvrďte odvolání klíče. Úplné zrušení klíče může trvat až 10 minut.

Znovu aktivujte odvolaný klíč

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů .
3	Přejděte na aktuálně odvolaný klíč.
4	Klepněte na tlačítko a vyberte možnost Aktivovat.
5	Potvrďte aktivaci klíče. Dříve odvolaný klíč přejde do stavu Aktivní.

Odstraňte odvolaný klíč

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů .
3	Přejděte na zrušený klíč.
4	Klepněte na tlačítko a vyberte možnost Odstranit.
5	Potvrďte odstranění klíče. Po odstranění máte možnost klíč obnovit do 30 dnů.

Obnovit odvolaný klíč

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů .
3	Přejděte na odstraněný klíč.
4	Klikněte na možnost a vyberte možnost Undelete.
5	Potvrďte obnovení klíče. Po obnovení se v prostředí Control Hub zobrazí klíč ve stavu Odvolaný před jeho odstraněním. Pokud například odstraníte odvolaný klíč a poté jej obnovíte, prostředí Control Hub zobrazí obnovený klíč ve stavu Odvolaný.

Požadavky

Vlastnictví

Převzetím vlastnictví klíče AWS KMS musíte:

Převezměte odpovědnost za bezpečné vytváření a zálohování klíčů AWS KMS.
Pochopte důsledky ztráty klíčů AWS KMS.
Rešifrujte aktivní klíč AMS KMS alespoň jednou ročně jako nejlepší postup.

Autorizace

Musíte mít oprávnění k vytváření a správě klíčů v KMS AWS pro vaši organizaci Webex.
Musíte mít přístup ke své organizaci Webex v centru Control Hub. Pro správu klíče AWS KMS musíte být plnohodnotným správcem.

Vytvořit klíč AWS KMS

1	Přihlaste se do AWS a přejděte do konzole AWS KMS.
2	Vyberte možnost Klíče spravované zákazníkem a klikněte na možnost Vytvořit klíč.
3	Vytvořte klíč s následujícími atributy: Typ klíče – vyberte možnost Symetric. Využití klíče – vyberte možnost Šifrovat a dešifrovat. Štítky – zadejte alias, popis a značky. Správci klíčů – vyberte uživatele a role správce klíčů vaší organizace. Odstranění klíče – zaškrtněte políčko Povolit správcům klíčů odstranit tento klíč. Klíčoví uživatelé – vyberte klíčové uživatele a role organizace.
4	Klepněte na tlačítko Další.
5	Zkontrolujte nastavení a klikněte na tlačítko Dokončit. Klíč AWS KMS je vytvořen.
6	Přejděte na klíče spravované zákazníkem a kliknutím na Alias nebo Key ID zobrazíte ARN.

Co dělat dál

Doporučujeme ponechat si dočasnou kopii ARN. Tato ARN se používá k přidání a aktivaci klíče AWS KMS v prostředí Control Hub.

Autorizace Cisco KMS s přístupem ke klíči AWS KMS

Přihlaste se do AWS a přejděte do konzole AWS Shell.

Spusťte create-grant autorizovat službu Webex následujícím způsobem:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Příklad:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Soubor KMS_CISCO_USER_ARN je specifické pro vaši organizaci. ARN se zobrazí v okně Přidat klíč AWS při aktivaci nového klíče AWK KMS v prostředí Control Hub.

Přidání a aktivace klíče AWS KMS

Než začnete

Před aktivací v prostředí Control Hub musíte vytvořit klíč AWS KMS. Viz Vytvoření klíče AWS KMS v tomto článku.

Aplikaci Webex musíte poskytnout přístup k klíči AWS KMS. V tomto článku viz Autorizovat Cisco KMS s přístupem ke klíči AWS KMS.

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů a zapněte možnost Přineste si vlastní klíč (BYOK) . Pokud zakážete funkci BYOK, Společný výchozí klíč Webex se stane hlavním klíčem pro vaši organizaci.
3	Vyberte možnost Přidat klávesu AWS KMS a klikněte na tlačítko Další.
4	Získejte ARN z konzole AWS.
5	Zadejte hodnotu ARN v centru Control Hub a klikněte na možnost Přidat. Klíč ARN je nahrán do Cisco KMS, kde je ověřen přístup k klíči. Potom centrum Control Hub zobrazí ID klíče Cisco KMS nového klíče AWS KMS a případně aktivní ID klíče Cisco KMS. Pokud je toto váš první klíč AWS KMS, je aktuálně aktivním klíčem společný výchozí klíč Webex (ten, který momentálně používáme pro šifrování klíčů vaší organizace).
6	Vyberte, jak chcete klíč aktivovat: Aktivovat: Nový klíč AWS KMS okamžitě přejde do stavu Aktivní. Aktivovat později : Nový klíč AWS KMS se přesune do stavu čekajícího na vyřízení. Webex uchovává tuto ARN klíče AWS KMS v Cisco KMS, ale zatím ji nepoužívá. Webex nadále používá aktuálně aktivní klíč AWS KMS pro šifrování klíčů vaší organizace.

Otočte klíč AWS KMS

1	Přihlaste se do prostředí Control Hub a přejděte do Nastavení organizace > Správa klíčů.
2	Přejděte na aktivní klíč AWS KMS.
3	Klikněte na možnost a vyberte možnost Rotovat.
4	Zadejte nový klíč AWS KMS a nový ARN a klikněte na Přidat. Proces je popsán v tomto článku v Přidání a aktivace klíče AMS KMS.
5	Klikněte na Aktivovat. Nový nahraný klíč AWS KMS přejde do stavu Aktivní. Starý klíč AWS KMS zůstane ve stavu Rotace, dokud služba Webex nedokončí šifrování veškerého obsahu novým aktivním klíčem AWS KMS. Po rešifrování starý klíč AWS KMS automaticky zmizí z prostředí Control Hub.

Otočením přidejte další klíč AWS KMS (volitelné)

1	Přihlaste se do prostředí Control Hub a přejděte do Nastavení organizace > Správa klíčů.
2	Klikněte na možnost Přidat další klíč.
3	Zadejte nový klíč AWS KMS a klikněte na Přidat. Control Hub zobrazuje ID klíče Cisco KMS nového klíče AWS KMS a ID aktuálně aktivního ID klíče Cisco KMS. Proces je popsán v tomto článku v Přidání a aktivace klíče AMS KMS.
4	Klikněte na Aktivovat. Nový nahraný klíč AWS KMS přejde do stavu Aktivní. Starý klíč AWS KMS zůstane ve stavu Rotace, dokud služba Webex nedokončí šifrování veškerého obsahu novým aktivním klíčem AWS KMS. Po rešifrování starý klíč AWS KMS automaticky zmizí z prostředí Control Hub.

Odvolat klíč AWS KMS

1	Přihlaste se do prostředí Control Hub a přejděte do Nastavení organizace > Správa klíčů.
2	Přejděte na aktuálně aktivní klíč AWS KMS.
3	Klikněte na možnost a vyberte možnost Lokálně odvolat.
4	Potvrďte odvolání klíče. Úplné zrušení klíče může trvat až 10 minut. Klíč AWS KMS přechází do stavu Lokálně odvolaný.

Pokud správce zákazníka odejme klíč z konzole AWS KMS, zobrazí se klíč AWS KMS ve stavu Revoked by Amazon v prostředí Control Hub.

Smazat klíč AWS KMS

1	Přihlaste se do prostředí Control Hub a přejděte do Nastavení organizace > Správa klíčů.
2	Přejděte na zrušený klíč AWS KMS.
3	Klepněte na tlačítko a vyberte možnost Odstranit.
4	Potvrďte odstranění klíče. Po odstranění můžete klíč obnovit do 30 dnů.

Před odstraněním CMK z konzole AWS doporučujeme nejprve odstranit klíč KMS AWS z centra Control Hub. Pokud odstraníte CMK z konzole AWS před odstraněním klíče AWS KMS v prostředí Control Hub, můžete narazit na problémy.

Před odstraněním CMK z konzole AWS se ujistěte, že klíč AWS KMS již není v centru Control Hub viditelný.

Obnovit klíč AWS KMS

1	Přihlaste se do prostředí Control Hub a přejděte do Nastavení organizace > Správa klíčů.
2	Přejděte na odstraněný klíč AWS KMS.
3	Klikněte na možnost a vyberte možnost Undelete.
4	Potvrďte obnovení klíče. Po obnovení se v prostředí Control Hub zobrazí klíč ve stavu Odvoláno.

Řešení potíží s klíčem AWS KMS

Pokud narazíte na problémy s klíčem AWS KMS, použijte následující informace k řešení problémů.

ARN klíče AWS KMS. Příklad: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Granty na klíč AWS KMS.
Stav klíče AWS KMS. Například klíč AWS KMS je zakázán.

Příklad: Vytvářejte a šifrujte klíče pomocí OpenSSL

V tomto příkladu jsou použity nástroje příkazového řádku OpenSSL verze 3.0. Viz OpenSSL , kde získáte další informace o těchto nástrojích.

1	Přihlaste se k Centrum Control Hub .
2	Přejít na Nastavení organizace > Správa klíčů .
3	Klikněte Stáhnout veřejný klíč . Veřejný klíč Webex HSM získáte v místním systému v souboru PEM.
4	Vytvořte 256bitový klíč (32 bajtů): `openssl rand 32 -out main_key.bin` V příkladu je použit název souborumain_key Přihrádka pro nový nezašifrovaný klíč.
5	K zašifrování nového klíče použijte veřejný klíč Webex HSM: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` V příkladu je použit název souborumain_key_encrypted Přihrádka pro šifrovaný výstupní klíč a název souboru cesta/k/public.pem pro veřejný klíč služby Webex . Šifrovaný klíč je připraven k nahrání do prostředí Control Hub.