Děkujeme za vaši zpětnou vazbu.
Správa vlastního hlavního klíče zákazníka
Zpětná vazba?
V rámci našeho závazku zajistit komplexní zabezpečení má služba Webex hlavní klíč jménem každé organizace. Říkáme mu hlavní klíč, protože nešifruje obsah přímo, ale používá se k šifrování dalších klíčů vaší organizace, které šifrují obsah. Základní úroveň hierarchie klíče se nazývá content key (CK) a střední úrovně klíče se nazývají šifrovací klíče (KEK).
Uvědomujeme si, že některé organizace dávají přednost správě vlastního zabezpečení, a proto vám poskytujeme možnost správy vlastního hlavního klíče zákazníka (CMK). To znamená, že přebíráte odpovědnost za vytvoření a otočení (opětovné šifrování) hlavního klíče, který služba Webex používá k šifrování vašich šifrovacích klíčů obsahu.
V budoucnu bude klíč znamenat soubor CMK, pokud nebude uvedeno jinak.
Jak to funguje
-
Webex uchovává vaše CMK v hardwarovém bezpečnostním modulu (HSM), aby služby Webex neměly přístup k hodnotě CMK.
-
Control Hub zobrazuje váš aktuálně aktivní nebo zrušený CMK a všechny nevyřízené CMK, které jsou uloženy v HSM. Když potřebujete CMK otočit (znovu šifrovat), vygenerujete nový CMK a zašifrujete jej veřejným klíčem HSM, takže jej může dešifrovat a uložit pouze HSM.
-
Poté nahrajete a aktivujete nový CMK v centru Control Hub. Webex okamžitě začne používat novou CMK pro šifrování klíčů obsahu. Webex udržuje starý CMK, ale pouze do té doby, dokud nebude zajištěno, že nové CMK zabezpečí vaše šifrovací klíče obsahu.
Uvědomujeme si, že některé organizace dávají přednost správě vlastního klíče mimo Webex. Proto vám poskytujeme možnost spravovat vlastní CMK ve službě správy klíčů (KMS) aplikace Amazon Web Services (AWS). To znamená, že odpovídáte za správu klíčů v systému AWS KMS. Pomocí konzole AWS opravňujete aplikaci Webex šifrování a dešifrování pomocí klíče AWS KMS. Poskytnete službě Webex své ID klíče AWS KMS namísto CMK. To znamená, že přebíráte odpovědnost za vytvoření a otočení (opětovné šifrování) klíče AWS KMS, který služba Webex používá k šifrování vašich šifrovacích klíčů obsahu v cloudu.
Jak to funguje
-
Klíč vytvoříte pomocí AWS. Nástroj AWS KMS se používá ke správě vašeho klíče a ukládá jej v hardwarovém bezpečnostním modulu (HSM).
-
Poskytnete službě Webex přístup k používání klíče AWS KMS prostřednictvím konzole AWS.
To znamená, že namísto nahrávání CMK do centra Control Hub poskytnete službě Webex přístup k klíči AWS KMS. Klíč AWS KMS neumožňuje vaší AWS KMS a služby Webex nemají přístup k materiálu klíčů AWS KMS.
V centru Control Hub se zobrazí váš aktuálně aktivní nebo odvozený klíč AWS KMS a všechny klíče AWS KMS čekající na vyřízení, které jsou v tomto klíči uloženy. Pokud potřebujete klíč AWS KMS otočit, vygenerujete nový klíč AWS KMS pomocí konzole AWS KMS.
-
Poté v prostředí Control Hub přidáte a aktivujete nový klíč AWS KMS a poskytnete mu název zdroje Amazon (ARN) nového klíče AWS KMS. Služba Webex okamžitě začne používat nový klíč AWS KMS pro šifrování klíčů obsahu. Služba Webex již nevyžaduje starý klíč AWS KMS. Po výměně a zabezpečení šifrovacích klíčů obsahu novým klíčem AWS KMS zmizí z centra Control Hub starý klíč AWS KMS. Služba Webex neodstraní klíč AWS KMS z AWS KMS. Správce zákazníka může klíč z řešení AWS KMS odebrat.
Životní cyklus klíče
Klíčové definice stavů
- Čeká na vyřízení
-
Klíč v tomto stavu je uložen v HSM, ale zatím se nepoužívá k šifrování. Webex nepoužívá tento CMK pro šifrování.
V tomto stavu může být pouze jeden klíč. - Aktivní
-
Služba Webex momentálně používá tento klíč CMK k šifrování dalších klíčů pro vaši organizaci.
V tomto stavu může být pouze jeden klíč. - Rotace
-
Webex dočasně používá toto CMK. Aplikace Webex vyžaduje dešifrování vašich dat a klíčů, které byly tímto klíčem dříve šifrovány. Tento klíč je zneplatněn po dokončení rotace (opětovné šifrování).
V tomto stavu může být více klíčů, pokud je před dokončením rotace aktivován nový klíč. - Zneplatněno
-
Webex nepoužívá toto CMK. Tento klíč se již nepoužívá k šifrování. Je nastavena životnost klíče, po které se tento klíč z HSM odebere.
- Zrušeno
-
Webex nepoužívá toto CMK. I když existují data a klíče, které byly pomocí tohoto klíče zašifrovány, služba Webex je nemůže použít k dešifrování dat a klíčů.
- Musíte zrušit aktivní klíč pouze v případě, že máte podezření, že byl poškozen. Je to vážné rozhodnutí, protože brání tomu, aby se mnohé operace správně chovaly. Nebudete například moci vytvářet nové prostory a nebudete moci dešifrovat žádný obsah v klientovi Webex.
- V tomto stavu může být pouze jeden klíč. Tento klíč je nutné znovu aktivovat, chcete-li použít jiný klíč (opětovné šifrování).
- Toto CMK lze odstranit, ale odstranění není nutné. Po vyřešení podezření na porušení zabezpečení jej možná budete chtít ponechat pro dešifrování/opětovné šifrování.
- Odstraněno
-
Webex nepoužívá toto CMK. Chování v tomto stavu je stejné jako ve stavu Zrušeno s výjimkou toho, že je nastavena doba životnosti klíče, po které je tento klíč z HSM odebrán.
- Pokud bude odstraněný klíč CMK pokračovat do stavu Odebráno, musíte obnovit původní klíč, abyste organizaci obnovili funkčnost.
- Doporučujeme vám zachovat záložní kopii původního klíče, jinak nebude vaše organizace již funkční.
- Odebráno
-
Toto je logický stav. Služba Webex nemá tento CMK uložen v HSM. Nezobrazuje se v prostředí Control Hub.
Vlastnictví
Když převezmete vlastnictví svého CMK, musíte:
- Přebírejte odpovědnost za bezpečné vytváření a zálohování klíčů
- Seznamte se s důsledky ztráty klíčů
- Opětovné šifrování aktivního CMK alespoň jednou ročně jako osvědčený postup
Vytvoření klíče
Pomocí těchto parametrů musíte vytvořit vlastní CMK. Váš klíč musí být:
- Délka 256 bitů (32 bajtů)
- Šifrováno pomocí schématu RSA-OAEP
- Šifrováno pomocí veřejného klíče HSM cloudu Webex
Software pro generování klíčů musí být schopen:
- SHA-256 hash funkce
- MGF1 funkce generování masky
- PKCS č. 1 Výplň OAEP
Viz příklad: Vytvořte a zašifrujte klíče pomocí OpenSSL na kartě Zdroje v tomto článku.
Autorizace
Musíte mít přístup ke své organizaci Webex v prostředí Control Hub. Chcete-li spravovat prostředí CMK, musíte být správce s úplnými právy .
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . Chcete-li povolit funkci BYOK, zapněte funkci Používání vlastního klíče (BYOK) . Pokud zakážete BYOK, společný výchozí klíč Webex se stane hlavním klíčem vaší organizace. |
| 3 |
Vyberte možnost Nahrát vlastní klíč a klikněte na tlačítko Další. |
| 4 |
Klikněte na možnost Stáhnout veřejný klíč. Uložte veřejný klíč Webex HSM v souboru .pem ve svém místním systému. |
| 5 |
Vytvořte kryptograficky zabezpečený 256bitový (32 bajtů) náhodný klíč pomocí softwaru pro správu klíčů. |
| 6 |
Veřejný klíč Webex HSM použijte k zašifrování nového klíče. Požadované parametry šifrování jsou:
Viz příklad: Vytvořte a zašifrujte klíče pomocí OpenSSL na kartě Zdroje v tomto článku.
|
| 7 |
Přetáhněte zašifrovaný klíč ze systému souborů a přetáhněte jej do oblasti nahrávání v rozhraní Control Hub, nebo klikněte na tlačítko Vybrat soubor. |
| 8 |
Klepněte na tlačítko Další. Aplikace Webex nahraje váš klíč do HSM, kde bude dešifrován a ověřen. Control Hub vám pak zobrazí ID vašeho nového CMK a ID aktuálně aktivního CMK (pokud existuje). Pokud je toto vaše první CMK, je aktuálně aktivním klíčem Webex common default key (ten, který v současné době používáme pro šifrování klíčů vaší organizace). |
| 9 |
Zvolte, jak chcete klíč aktivovat:
|
Co dělat dál
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . |
| 3 |
Přejděte k aktivnímu CMK. |
| 4 |
Klikněte na |
| 5 |
Vytvořte a zašifrujte nový klíč (pokud jste tak dosud neučinili). Proces je popsán v článku Vytvoření a aktivace hlavního klíče zákazníka v tomto článku.
|
| 6 |
Přetáhněte nový klíč ze systému souborů a přetáhněte jej do prostředí Control Hub. |
| 7 |
Klikněte na možnost Aktivovat nový klíč. Nový klíč, který jste nahráli, přejde do stavu Aktivní. Starý CMK zůstane v rotaci (stav opětovného šifrování), dokud Webex nedokončí šifrování veškerého svého obsahu novým aktivním CMK. Po opětovném šifrování se klíč přesune do stavu Vyřazeno. Webex pak odstraní starý CMK. |
tlačítko a vyberte možnost | 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . |
| 3 |
Přejděte k aktivnímu klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte zrušení klíče. Úplné odvolání klíče může trvat až 10 minut.
|
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . |
| 3 |
Přejděte k aktuálně zrušenému klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte aktivaci klíče. Dříve zrušený klíč se přejde do stavu Aktivní.
|
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . |
| 3 |
Přejděte k odvolanému klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte odstranění klíče. Po odstranění máte možnost klíč obnovit do 30 dnů.
|
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . |
| 3 |
Přejděte k odstraněnému klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte obnovení klíče. Po obnovení se v centru Control Hub zobrazí klíč ve stavu Zrušeno, než byl odstraněn. Pokud například odstraníte odvolaný klíč a poté jej obnovíte, centrum Control Hub zobrazí obnovený klíč ve stavu Odvoláno.
|
Vlastnictví
Když převezmete vlastnictví vašeho klíče AWS KMS, musíte:
- Přebírejte odpovědnost za bezpečné vytváření a zálohování vašich klíčů AWS KMS.
- Pochopte důsledky ztráty klíčů AWS KMS.
- Opětovné šifrování aktivního klíče AMS KMS alespoň jednou ročně jako osvědčený postup.
Autorizace
- Musíte mít oprávnění k vytváření a správě klíčů v systému AWS KMS pro vaši organizaci Webex.
- Musíte mít přístup ke své organizaci Webex v prostředí Control Hub. Chcete-li spravovat klíč AWS KMS, musíte být správce s úplnými právy .
| 1 |
Přihlaste se k AWS a přejděte na konzolu AWS KMS. |
| 2 |
Vyberte možnost Zákazníkem spravované klíče a klikněte na tlačítko Vytvořit klíč. |
| 3 |
Vytvořte klíč s následujícími atributy:
|
| 4 |
Klepněte na tlačítko Další. |
| 5 |
Zkontrolujte nastavení a klikněte na tlačítko Dokončit. Váš klíč AWS KMS byl vytvořen.
|
| 6 |
Přejděte na položku Zákazníkem spravované klíče a kliknutím na ID aliasu nebo klíče zobrazíte ARN. |
Co dělat dál
Doporučujeme zachovat dočasnou kopii ARN. Toto číslo ARN se používá k přidání a aktivaci vašeho klíče AWS KMS v prostředí Control Hub.
| 1 |
Přihlaste se k AWS a přejděte na konzolu AWS CloudShell. |
| 2 |
Spusťte Uživatelské číslo KMS_CISCO_USER_ARN je specifické pro vaši organizaci. Při aktivaci nového klíče AWK KMS v prostředí Control Hub se zobrazí ARN v okně Přidat klíč AWS. |
Než začnete
Před aktivací v centru Control Hub musíte vytvořit klíč AWS KMS. Viz téma Vytvoření klíče AWS KMS v tomto článku.
Musíte společnosti Webex poskytnout přístup k klíči AWS KMS. Viz téma Autorizace služby Cisco KMS s přístupem k klíči AWS KMS v tomto článku.
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na a zapněte Bring Your Own Key (BYOK) . Pokud zakážete BYOK, společný výchozí klíč Webex se stane hlavním klíčem vaší organizace. |
| 3 |
Vyberte možnost Přidat klíč AWS KMS a klikněte na tlačítko Další. |
| 4 |
Získejte číslo ARN z konzole AWS. |
| 5 |
Zadejte ARN v prostředí Control Hub a klikněte na tlačítko Přidat. Vaše číslo ARN klíče se nahraje do aplikace Cisco KMS, kde je ověřen přístup k klíči. Prostředí Control Hub poté zobrazí ID klíče Cisco KMS vašeho nového klíče AWS KMS a případně ID aktuálně aktivního klíče Cisco KMS. Pokud je to váš první klíč AWS KMS, je aktuálně aktivním klíčem Webex common default key (ten, který v současné době používáme pro šifrování klíčů vaší organizace). |
| 6 |
Zvolte, jak chcete klíč aktivovat:
|
| 1 |
Přihlaste se do prostředí Control Hub a přejděte na možnost . |
| 2 |
Přejděte k aktivnímu klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Zadejte nový klíč AWS KMS a nový ARN a klikněte na tlačítko Přidat. Proces je popsán v článku Přidání a aktivace klíče AMS KMS v tomto článku.
|
| 5 |
Klikněte na tlačítko Aktivovat. Nový nahraný klíč AWS KMS přejde do aktivního stavu. Starý klíč AWS KMS zůstane ve stavu otáčení, dokud Webex nedokončí šifrování veškerého svého obsahu novým aktivním klíčem AWS KMS. Po opětovném šifrování starý klíč AWS KMS automaticky zmizí z centra Control Hub. |
| 1 |
Přihlaste se do prostředí Control Hub a přejděte na možnost . |
| 2 |
Klikněte na možnost Přidat další klíč. |
| 3 |
Zadejte nový klíč AWS KMS a klikněte na tlačítko Přidat. Prostředí Control Hub zobrazuje ID klíče Cisco KMS vašeho nového klíče AWS KMS a ID aktuálně aktivního klíče Cisco KMS. Proces je popsán v článku Přidání a aktivace klíče AMS KMS v tomto článku. |
| 4 |
Klikněte na tlačítko Aktivovat. Nový nahraný klíč AWS KMS přejde do aktivního stavu. Starý klíč AWS KMS zůstane ve stavu otáčení, dokud Webex nedokončí šifrování veškerého svého obsahu novým aktivním klíčem AWS KMS. Po opětovném šifrování starý klíč AWS KMS automaticky zmizí z centra Control Hub. |
| 1 |
Přihlaste se do prostředí Control Hub a přejděte na možnost . |
| 2 |
Přejděte k aktuálně aktivnímu klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Potvrďte zrušení klíče. Úplné odvolání klíče může trvat až 10 minut. Klíč AWS KMS přejde do stavu Lokálně odvolán.
|
Pokud správce zákazníka zruší klíč z konzole AWS KMS, zobrazí se klíč AWS KMS ve stavu Zrušeno společností Amazon v prostředí Control Hub.
| 1 |
Přihlaste se do prostředí Control Hub a přejděte na možnost . |
| 2 |
Přejděte k odvolanému klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Potvrďte odstranění klíče. Odstraněný klíč můžete obnovit do 30 dnů. |
Před odstraněním souboru CMK z konzole AWS doporučujeme nejprve odstranit klíč AWS KMS z centra Control Hub. Pokud z konzole AWS odstraníte klíč AWS KMS před odstraněním klíče AWS KMS v prostředí Control Hub, může dojít k potížím.
Před odstraněním souboru CMK z konzole AWS se ujistěte, že klíč AWS KMS již není v centru Control Hub viditelný.
| 1 |
Přihlaste se do prostředí Control Hub a přejděte na možnost . |
| 2 |
Přejděte k odstraněnému klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Potvrďte obnovení klíče. Po obnovení se v centru Control Hub zobrazí klíč ve stavu Zrušeno. |
Pokud narazíte na problémy s klíčem AWS KMS, použijte následující informace k řešení potíží.
-
ARN klíče AWS KMS. Například
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Stav klíče AWS KMS. Například klíč AWS KMS je zakázán.
Tento příklad používá verzi 3.0 nástrojů příkazové řádky OpenSSL. Další informace o těchto nástrojích najdete v části OpenSSL .
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte na . |
| 3 |
Klikněte na možnost Stáhnout veřejný klíč. Veřejný klíč Webex HSM získáte v souboru .pem ve svém místním systému. |
| 4 |
Vytvořit 256bitový (32 bajtů) klíč: Tento příklad používá název souboru main_key.bin pro váš nešifrovaný nový klíč. Nebo můžete vygenerovat 32bitovou náhodnou hodnotu pomocí výpisu Hex, Python nebo online generátorů. Můžete také vytvořit a spravovat klíč AWS KMS. |
| 5 |
Veřejný klíč Webex HSM použijte k zašifrování nového klíče: V tomto příkladu je pro zašifrovaný výstupní klíč použit název souboru main_key_encrypted.bin a pro veřejný klíč Webex název souboru path/to/public.pem . Šifrovaný klíč je připraven k nahrání do prostředí Control Hub. |
