Webex je ve výchozím nastavení zabezpečený a vlastníme hlavní klíč pro šifrování všech šifrovacích klíčů vaší organizace. Pokud dáváte přednost ovládání hlavního klíče organizace, můžete to udělat pomocí prostředí Control Hub a preferovaných nástrojů pro správu klíčů.
V rámci našeho závazku poskytovat komplexní zabezpečení má Webex jménem každé organizace hlavní klíč. Říkáme mu hlavní klíč, protože nešifruje obsah přímo, ale používá se k šifrování ostatních klíčů organizace, které obsah šifrují. Základní úroveň hierarchie klíčů se nazývá klíč obsahu (CK) a střední úrovně klíčů se nazývají šifrovací klíče (KEK).
Uznáváme, že některé organizace dávají přednost správě svého zabezpečení, a proto vám poskytujeme možnost spravovat svůj vlastní hlavní klíč zákazníka (CMK). To znamená, že přebíráte odpovědnost za vytvoření a rotaci (rešifrování) hlavního klíče, který služba Webex používá k šifrování šifrovacích klíčů obsahu.
Pokud není uvedeno jinak, klíč bude do budoucna odkazovat na CMK.
Jak to funguje
Webex uchovává vaši CMK v modulu hardwarového zabezpečení (HSM), takže služby Webex nemají přístup k hodnotě CMK.
Control Hub zobrazuje vaši aktuálně aktivní nebo zrušenou CMK a všechny nevyřízené CMK, které jsou uložené v HSM. Když potřebujete CMK otočit (znovu zašifrovat), vygenerujete nové CMK a zašifrovat jej pomocí veřejného klíče HSM, aby jej mohl dešifrovat a uložit pouze HSM.
Potom nahrajte a aktivujte novou kartu CMK v prostředí Control Hub. Webex začne okamžitě používat novou aplikaci CMK k šifrování klíčů obsahu. Webex si ponechává starou aplikaci CMK, ale pouze do doby, než si bude jist, že vaše klíče šifrování obsahu jsou zabezpečeny novou aplikací CMK.
Zpětně nešifrováme veškerý existující obsah. Jakmile aktivujete CMK, veškerý nový obsah (prostory a schůzky) bude znovu zašifrován a chráněn. |
Uvědomujeme si, že některé organizace dávají přednost správě vlastního klíče mimo službu Webex. Proto vám dáváme možnost spravovat vlastní CMK ve službě správy klíčů (KMS) společnosti Amazon Web Services (AWS). To znamená, že jste zodpovědní za správu klíčů v AWS KMS. Autorizujete aplikaci Webex k šifrování a dešifrování pomocí klíče AWS KMS prostřednictvím konzole AWS. Aplikaci Webex poskytujete místo CMK ID klíče AWS KMS. To znamená, že přebíráte odpovědnost za vytvoření a rotaci (rešifrování) klíče AWS KMS, který služba Webex používá k šifrování šifrovacích klíčů obsahu v cloudu.
Jak to funguje
Pomocí AWS vytvoříte klíč. AWS KMS slouží ke správě klíče a ukládá jej do hardwarového bezpečnostního modulu (HSM).
Aplikaci Webex poskytujete přístup k použití klíče AWS KMS prostřednictvím konzole AWS.
To znamená, že místo nahrávání CMK do prostředí Control Hub poskytnete aplikaci Webex přístup ke klíči AWS KMS. Klíč AWS KMS nenechá vaše AWS KMS a služby Webex nemají přístup k materiálu klíče AWS KMS.
Control Hub zobrazuje váš aktuálně aktivní nebo odvolaný klíč AWS KMS a jakýkoli nevyřízený klíč AWS KMS, který je uložen v AWS KMS. Když potřebujete otočit klíč AWS KMS, vygenerujete nový klíč AWS KMS pomocí konzole AWS KMS.
Poté přidáte a aktivujete nový klíč AWS KMS v prostředí Control Hub a poskytnete mu název zdroje Amazon (ARN) nového klíče AWS KMS. Služba Webex okamžitě začne používat nový klíč AWS KMS pro šifrování klíčů obsahu. Služba Webex již nepotřebuje starý klíč AWS KMS. Starý klíč AWS KMS zmizí z centra Control Hub poté, co budou vaše šifrovací klíče obsahu otočeny a zabezpečeny novým klíčem AWS KMS. Webex neodstraňuje klíč AWS KMS z AWS KMS. Správce zákazníka může klíč odebrat z KMS AWS.
Životní cyklus klíče
Definice stavu klíče
- Čeká na vyřízení
-
Klíč v tomto stavu je uložen v HSM, ale ještě se nepoužívá k šifrování. Webex nepoužívá tuto CMK k šifrování.
V tomto stavu může být jen jeden klíč. - Aktivní
-
Webex aktuálně používá tento CMK k šifrování jiných klíčů pro vaši organizaci.
V tomto stavu může být jen jeden klíč. - Rotace
-
Webex dočasně používá tuto CMK. Webex to potřebuje k dešifrování dat a klíčů, které byly dříve šifrovány tímto klíčem. Po dokončení rotace (rešifrování) je tento klíč vyřazen.
V tomto stavu může být více klíčů, pokud je před dokončením rotace aktivována nová klávesa. - Ve výslužbě
-
Webex tuto CMK nepoužívá. Tento klíč se již nepoužívá k šifrování. Je nastavena doba životnosti klíče, po jejímž uplynutí je tento klíč odebrán z HSM.
- Odvoláno
-
Webex tuto CMK nepoužívá. I v případě, že existují data a klíče, které byly zašifrovány tímto klíčem, aplikace Webex jej nebude moci použít k dešifrování dat a klíčů.
- Aktivní klíč musíte odvolat pouze v případě, že máte podezření, že byl prozrazen. Jedná se o závažné rozhodnutí, protože zabraňuje správnému chování mnoha operací. V klientovi Webex nebudete moci například vytvářet nové prostory ani dešifrovat žádný obsah.
- V tomto stavu může být jen jeden klíč. Chcete-li otočit (znovu zašifrovat) nový klíč, musíte tento klíč znovu aktivovat.
- Tuto CMK lze smazat, ale nemusíte ji mazat. Můžete si jej ponechat pro dešifrování / rešifrování poté, co vyřešíte podezření na narušení bezpečnosti.
- Odstraněno
-
Webex tuto CMK nepoužívá. Chování v tomto stavu je stejné jako ve stavu Odvoláno kromě toho, že je nastavena doba životnosti klíče, načež je tento klíč odebrán z HSM.
- Pokud odstraněná CMK pokročí do stavu Odebráno, musíte obnovit původní klíč, abyste organizaci obnovili funkce.
- Doporučujeme si ponechat záložní kopii původního klíče, jinak již vaše organizace nebude funkční.
- Odebráno
-
Toto je logický stav. Webex nemá tuto CMK uloženou v HSM. Nezobrazuje se v centru Control Hub.
Vlastnictví
Převzetím vlastnictví vaší CMK musíte:
- Převezměte odpovědnost za bezpečné vytváření a zálohování vašich klíčů
- Mějte na paměti, jaké důsledky může mít ztráta klíčů
- Rešifrovat aktivní CMK alespoň jednou ročně jako nejlepší postup
Vytvoření klíče
Musíte vytvořit svůj vlastní CMK pomocí těchto parametrů. Klíč musí být:
- 256 bitů (32 bajtů) dlouhý
- Šifrováno schématem RSA-OAEP
- Šifrováno pomocí veřejného klíče Webex cloud HSM
Váš software pro generování klíčů musí umožňovat:
- Funkce hash SHA-256
- Funkce generování masky MGF1
- odsazení PKCS#1 OAEP
Viz Příklad: Vytvářejte a šifrujte klíče pomocí OpenSSL na kartě Prostředky v tomto článku.
Autorizace
Musíte mít přístup ke své organizaci Webex v centru Control Hub. Musíte být a úplný správce ke správě aplikace CMK.
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na .Chcete-li povolit BYOK, přepněte Přineste svůj vlastní klíč (BYOK) zapnuto. Pokud zakážete funkci BYOK, Společný výchozí klíč Webex se stane hlavním klíčem pro vaši organizaci. |
3 | Vyberte možnost Nahrát vlastní klíč a klikněte na tlačítko Další. |
4 | Klikněte Stáhnout veřejný klíč . Uložte veřejný klíč Webex HSM do souboru PEM v místním systému. |
5 | Vytvořte kryptograficky zabezpečený 256bitový (32bajtový) náhodný klíč pomocí softwaru pro správu klíčů. |
6 | K zašifrování nového klíče použijte veřejný klíč Webex HSM. Požadované parametry šifrování jsou následující:
Viz Příklad: Vytvářejte a šifrujte klíče pomocí OpenSSL na kartě Prostředky v tomto článku.
|
7 | Přetáhněte šifrovaný klíč ze systému souborů do oblasti nahrávání v rozhraní Control Hub nebo klikněte na Vyberte soubor . |
8 | Klepněte na tlačítko Další. Webex nahraje váš klíč do HSM, kde je dešifrován a ověřen. Control Hub vám zobrazí ID nové CMK a ID aktuálně aktivní CMK, pokud existuje. Pokud je to vaše první CMK, aktuálně aktivní klíč je Společný výchozí klíč Webex (ten, který v současné době používáme k šifrování klíčů vaší organizace). |
9 | Vyberte, jak chcete klíč aktivovat:
|
Co dělat dál
Zpětně nešifrováme veškerý existující obsah. Jakmile aktivujete CMK, veškerý nový obsah (prostory a schůzky) bude znovu zašifrován a chráněn. |
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na . |
3 | Přejděte na aktivní CMK. |
4 | Kliknětea vyberte možnost Rotovat. |
5 | Vytvořte a zašifrujte nový klíč (pokud jste tak ještě neudělali). Proces je popsán v Vytvořte a aktivujte hlavní klíč zákazníka v tomto článku.
|
6 | Přetáhněte nový klíč ze systému souborů a přetáhněte jej do prostředí Control Hub. |
7 | Klikněte Aktivovat nový klíč . Nový klíč, který jste nahráli, se přepne do aktivního stavu. Staré CMK zůstane v rotaci (stav rešifrování), dokud Webex nedokončí šifrování veškerého svého obsahu novým aktivním CMK. Po rešifrování se klíč přesune do stavu důchodce. Webex poté odstraní starou sadu CMK. |
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na . |
3 | Přejděte na aktivní klíč. |
4 | Kliknětea vyberte možnost Zrušit. |
5 | Potvrďte odvolání klíče. Úplné zrušení klíče může trvat až 10 minut.
|
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na . |
3 | Přejděte na aktuálně odvolaný klíč. |
4 | Kliknětea vyberte možnost Aktivovat. |
5 | Potvrďte aktivaci klíče. Dříve odvolaný klíč přejde do stavu Aktivní.
|
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na . |
3 | Přejděte na zrušený klíč. |
4 | Kliknětea vyberte možnost Odstranit. |
5 | Potvrďte odstranění klíče. Po odstranění máte možnost klíč obnovit do 30 dnů.
|
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na . |
3 | Přejděte na odstraněný klíč. |
4 | Kliknětea vyberte možnost Obnovit odstranění. |
5 | Potvrďte obnovení klíče. Po obnovení se v prostředí Control Hub zobrazí klíč ve stavu Odvolaný před jeho odstraněním. Pokud například odstraníte odvolaný klíč a poté jej obnovíte, prostředí Control Hub zobrazí obnovený klíč ve stavu Odvolaný.
|
Vlastnictví
Převzetím vlastnictví klíče AWS KMS musíte:
- Převezměte odpovědnost za bezpečné vytváření a zálohování klíčů AWS KMS.
- Pochopte důsledky ztráty klíčů AWS KMS.
- Rešifrujte aktivní klíč AMS KMS alespoň jednou ročně jako nejlepší postup.
Autorizace
- Musíte mít oprávnění k vytváření a správě klíčů v KMS AWS pro vaši organizaci Webex.
- Musíte mít přístup ke své organizaci Webex v centru Control Hub. Pro správu klíče AWS KMS musíte být plnohodnotným správcem.
1 | Přihlaste se do AWS a přejděte do konzole AWS KMS. |
2 | Vyberte možnost Klíče spravované zákazníkem a klikněte na možnost Vytvořit klíč. |
3 | Vytvořte klíč s následujícími atributy:
|
4 | Klepněte na tlačítko Další. |
5 | Zkontrolujte nastavení a klikněte na tlačítko Dokončit. Klíč AWS KMS je vytvořen.
|
6 | Přejděte na klíče spravované zákazníkem a kliknutím na Alias nebo Key ID zobrazíte ARN. |
Co dělat dál
Doporučujeme ponechat si dočasnou kopii ARN. Tato ARN se používá k přidání a aktivaci klíče AWS KMS v prostředí Control Hub.
1 | Přihlaste se do AWS a přejděte do konzole AWS Shell. | ||
2 | Spusťte Příklad:
|
Než začnete
Před aktivací v prostředí Control Hub musíte vytvořit klíč AWS KMS. Viz Vytvoření klíče AWS KMS v tomto článku.
Aplikaci Webex musíte poskytnout přístup k klíči AWS KMS. V tomto článku viz Autorizovat Cisco KMS s přístupem ke klíči AWS KMS.
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na možnost Přineste si vlastní klíč (BYOK) . a zapnětePokud zakážete funkci BYOK, Společný výchozí klíč Webex se stane hlavním klíčem pro vaši organizaci. |
3 | Vyberte možnost Přidat klávesu AWS KMS a klikněte na tlačítko Další. |
4 | Získejte ARN z konzole AWS. |
5 | Zadejte hodnotu ARN v centru Control Hub a klikněte na možnost Přidat. Klíč ARN je nahrán do Cisco KMS, kde je ověřen přístup k klíči. Potom centrum Control Hub zobrazí ID klíče Cisco KMS nového klíče AWS KMS a případně aktivní ID klíče Cisco KMS. Pokud je toto váš první klíč AWS KMS, je aktuálně aktivním klíčem společný výchozí klíč Webex (ten, který momentálně používáme pro šifrování klíčů vaší organizace). |
6 | Vyberte, jak chcete klíč aktivovat:
|
1 | Přihlaste se do prostředí Control Hub a přejděte do . |
2 | Přejděte na aktivní klíč AWS KMS. |
3 | Kliknětea vyberte možnost Rotovat. |
4 | Zadejte nový klíč AWS KMS a nový ARN a klikněte na Přidat. Proces je popsán v tomto článku v Přidání a aktivace klíče AMS KMS.
|
5 | Klikněte na možnost Aktivovat. Nový nahraný klíč AWS KMS přejde do stavu Aktivní. Starý klíč AWS KMS zůstane ve stavu Rotace, dokud služba Webex nedokončí šifrování veškerého obsahu novým aktivním klíčem AWS KMS. Po rešifrování starý klíč AWS KMS automaticky zmizí z prostředí Control Hub. |
1 | Přihlaste se do prostředí Control Hub a přejděte do . |
2 | Klikněte na možnost Přidat další klíč. |
3 | Zadejte nový klíč AWS KMS a klikněte na Přidat. Control Hub zobrazuje ID klíče Cisco KMS nového klíče AWS KMS a ID aktuálně aktivního ID klíče Cisco KMS. Proces je popsán v tomto článku v Přidání a aktivace klíče AMS KMS. |
4 | Klikněte na možnost Aktivovat. Nový nahraný klíč AWS KMS přejde do stavu Aktivní. Starý klíč AWS KMS zůstane ve stavu Rotace, dokud služba Webex nedokončí šifrování veškerého obsahu novým aktivním klíčem AWS KMS. Po rešifrování starý klíč AWS KMS automaticky zmizí z prostředí Control Hub. |
1 | Přihlaste se do prostředí Control Hub a přejděte do . |
2 | Přejděte na aktuálně aktivní klíč AWS KMS. |
3 | Kliknětea vyberte možnost Lokálně odvolat. |
4 | Potvrďte odvolání klíče. Úplné zrušení klíče může trvat až 10 minut. Klíč AWS KMS přechází do stavu Lokálně odvolaný.
|
Pokud správce zákazníka odejme klíč z konzole AWS KMS, zobrazí se klíč AWS KMS ve stavu Revoked by Amazon v prostředí Control Hub. |
1 | Přihlaste se do prostředí Control Hub a přejděte do . |
2 | Přejděte na zrušený klíč AWS KMS. |
3 | Kliknětea vyberte možnost Odstranit. |
4 | Potvrďte odstranění klíče. Po odstranění můžete klíč obnovit do 30 dnů. |
Před odstraněním CMK z konzole AWS doporučujeme nejprve odstranit klíč KMS AWS z centra Control Hub. Pokud odstraníte CMK z konzole AWS před odstraněním klíče AWS KMS v prostředí Control Hub, můžete narazit na problémy. Před odstraněním CMK z konzole AWS se ujistěte, že klíč AWS KMS již není v centru Control Hub viditelný. |
1 | Přihlaste se do prostředí Control Hub a přejděte do . |
2 | Přejděte na odstraněný klíč AWS KMS. |
3 | Kliknětea vyberte možnost Obnovit odstranění. |
4 | Potvrďte obnovení klíče. Po obnovení se v prostředí Control Hub zobrazí klíč ve stavu Odvoláno. |
Pokud narazíte na problémy s klíčem AWS KMS, použijte následující informace k řešení problémů.
ARN klíče AWS KMS. Příklad:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Stav klíče AWS KMS. Například klíč AWS KMS je zakázán.
V tomto příkladu jsou použity nástroje příkazového řádku OpenSSL verze 3.0. Viz OpenSSL , kde získáte další informace o těchto nástrojích.
1 | Přihlaste se k Centrum Control Hub . |
2 | Přejít na . |
3 | Klikněte Stáhnout veřejný klíč . Veřejný klíč Webex HSM získáte v místním systému v souboru PEM. |
4 | Vytvořte 256bitový klíč (32 bajtů): V příkladu je použit název souborumain_key Přihrádka pro nový nezašifrovaný klíč. Alternativně můžete vygenerovat 32bajtovou náhodnou hodnotu pomocí Hex dump, Python nebo online generátorů. Můžete také vytvořit a spravovat klíč AWS KMS. |
5 | K zašifrování nového klíče použijte veřejný klíč Webex HSM:
V příkladu je použit název souborumain_key_encrypted Přihrádka pro šifrovaný výstupní klíč a název souboru cesta/k/public.pem pro veřejný klíč služby Webex . Šifrovaný klíč je připraven k nahrání do prostředí Control Hub. |