Děkujeme za vaši zpětnou vazbu.
Spravujte si vlastní hlavní klíč zákazníka
Zpětná vazba?Tato funkce není podporována pro aplikaci Webex for Government.
V rámci našeho závazku k komplexní bezpečnosti drží Webex hlavní klíč jménem každé organizace. Říkáme mu hlavní klíč, protože nešifruje obsah přímo, ale používá se k šifrování ostatních klíčů vaší organizace, které šifrují obsah. Základní úroveň hierarchie klíčů se nazývá obsahový klíč (CK) a mezilehlé úrovně klíčů se nazývají šifrovací klíče (KEK).
Uznáváme, že některé organizace dávají přednost správě vlastního zabezpečení, proto vám dáváme možnost spravovat si vlastní hlavní klíč zákazníka (CMK). To znamená, že přebíráte odpovědnost za vytvoření a rotaci (opětovné šifrování) hlavního klíče, který Webex používá k šifrování klíčů pro šifrování vašeho obsahu.
Pokud není uvedeno jinak, klíč odkazuje na CMK.
Jak to funguje
-
Webex uchovává váš klíč CMK v hardwarovém bezpečnostním modulu (HSM), aby služby Webex neměly přístup k hodnotě CMK.
-
Control Hub zobrazuje váš aktuálně aktivní nebo zrušený CMK a všechny čekající CMK uložené v HSM. Pokud potřebujete otočit (znovu zašifrovat) klíč CMK, vygenerujete nový klíč CMK a zašifrujete ho veřejným klíčem HSM, aby jej mohl dešifrovat a uložit pouze HSM.
-
Poté nahrajete a aktivujete nový klíč CMK v Control Hubu. Webex okamžitě začne používat nový klíč CMK pro šifrování klíčů obsahu. Webex si ponechá starý klíč CMK, ale pouze do té doby, než si bude jistý, že vaše šifrovací klíče obsahu jsou zabezpečeny novým klíčem CMK.
Veškerý existující obsah zpětně nešifrujeme. Jakmile aktivujete svůj CMK, veškerý nový obsah (prostory a schůzky) bude znovu zašifrován a chráněn.
Uznáváme, že některé organizace preferují správu vlastních klíčů mimo Webex. Proto vám dáváme možnost spravovat si vlastní klíč CMK ve službě správy klíčů (KMS) Amazon Web Services (AWS). To znamená, že jste zodpovědní za správu svých klíčů v AWS KMS. Prostřednictvím konzole AWS opravňujete společnost Webex k šifrování a dešifrování pomocí vašeho klíče AWS KMS. Webexu poskytnete ID klíče AWS KMS místo klíče CMK. To znamená, že přebíráte odpovědnost za vytvoření a rotaci (opětovné šifrování) klíče AWS KMS, který Webex používá k šifrování klíčů pro šifrování vašeho obsahu v cloudu.
Jak to funguje
-
Klíč vytvoříte pomocí AWS. AWS KMS se používá ke správě vašeho klíče a ukládá jej do hardwarového bezpečnostního modulu (HSM).
-
Prostřednictvím konzole AWS poskytujete společnosti Webex přístup k používání klíče AWS KMS.
To znamená, že místo nahrávání klíče CMK do Control Hubu poskytujete Webexu přístup ke klíči AWS KMS. Klíč AWS KMS neopouští váš AWS KMS a služby Webex nemají přístup k obsahu klíče AWS KMS.
Control Hub zobrazuje váš aktuálně aktivní nebo zrušený klíč AWS KMS a všechny čekající klíče AWS KMS, které jsou uložené v AWS KMS. Pokud potřebujete otočit klíč AWS KMS, vygenerujete si nový klíč AWS KMS pomocí konzole AWS KMS.
-
Poté přidáte a aktivujete nový klíč AWS KMS v Control Hubu a poskytnete mu název zdroje Amazon (ARN) nového klíče AWS KMS. Webex okamžitě začne používat nový klíč AWS KMS pro šifrování klíčů vašeho obsahu. Webex již nevyžaduje starý klíč AWS KMS. Starý klíč AWS KMS zmizí z Control Hubu poté, co budou klíče pro šifrování obsahu rotovány a zabezpečeny novým klíčem AWS KMS. Webex neodstraní klíč AWS KMS z AWS KMS. Váš administrátor zákazníka může klíč z AWS KMS odebrat.
Životní cyklus klíče
Klíčové definice států
- Čekající na vyřízení
-
Klíč v tomto stavu je uložen v HSM, ale zatím se nepoužívá k šifrování. Webex tento klíč CMK nepoužívá pro šifrování.
V tomto stavu může být pouze jeden klíč.
- Aktivní
-
Webex aktuálně používá tento klíč CMK k šifrování dalších klíčů pro vaši organizaci.
V tomto stavu může být pouze jeden klíč.
- Rotace
-
Webex dočasně používá tento CMK. Webex ho potřebuje k dešifrování vašich dat a klíčů, které byly dříve tímto klíčem zašifrovány. Tento klíč je vyřazen z provozu po dokončení rotace (opětovného šifrování).
V tomto stavu může být více klíčů, pokud je nový klíč aktivován před dokončením rotace.
- Zneplatněno
-
Webex tento klíč CMK nepoužívá. Tento klíč se již nepoužívá k šifrování. Je nastavena doba životnosti klíče, po které je tento klíč odebrán z HSM.
- Zrušeno
-
Webex tento klíč CMK nepoužívá. I když existují data a klíče, které byly tímto klíčem zašifrovány, Webex jej nemůže použít k jejich dešifrování.
- Aktivní klíč je nutné zrušit pouze v případě podezření, že byl ohrožen. Toto je závažné rozhodnutí, protože brání správnému fungování mnoha operací. Například nebudete moci vytvářet nové prostory a nebudete moci dešifrovat žádný obsah v aplikaci Webex Client.
- V tomto stavu může být pouze jeden klíč. Pro rotaci (znovu zašifrování) nového klíče musíte tento klíč znovu aktivovat.
- Tento CMK lze smazat, ale nemusíte ho mazat. Možná si to budete chtít ponechat pro dešifrování. / opětovné šifrování po vyřešení podezření na narušení bezpečnosti.
- Odstraněno
-
Webex tento klíč CMK nepoužívá. Chování v tomto stavu je stejné jako ve stavu Odvoláno, s tím rozdílem, že je nastavena doba platnosti klíče, po které je tento klíč odebrán z HSM.
- Pokud odstraněný klíč CMK přejde do stavu Odstraněno, musíte obnovit původní klíč, abyste obnovili funkčnost organizace.
- Doporučujeme vám uchovávat si záložní kopii původního klíče, jinak vaše organizace přestane být funkční.
- Odebráno
-
To je logický stav. Webex nemá tento klíč CMK uložen v HSM. Nezobrazuje se to v Control Hubu.
Vlastnictví
Převzetím vlastnictví vašeho CMK musíte:
- Převezměte odpovědnost za bezpečné vytváření a zálohování vašich klíčů
- Pochopte důsledky ztráty klíčů
- Doporučuje se alespoň jednou ročně znovu zašifrovat aktivní klíč CMK.
Vytvoření klíče
Musíte si vytvořit vlastní CMK s použitím těchto parametrů. Váš klíč musí být:
- 256 bitů (32 bajtů) dlouhý
- Šifrováno pomocí schématu RSA-OAEP
- Šifrováno veřejným klíčem HSM cloudu Webex
Váš software pro generování klíčů musí být schopen:
- Hašovací funkce SHA-256
- Funkce generování masky MGF1
- PKCS#1 Polstrování OAEP
Viz Příklad: Vytvořte a zašifrujte klíče pomocí OpenSSL na kartě Zdroje v tomto článku.
Autorizace
Musíte mít přístup ke své organizaci Webex v Control Hubu. Pro správu CMK musíte být správcem s plnými oprávněními.
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . Chcete-li povolit BYOK (Přineste si vlastní klíč), zapněte přepínač Přineste si vlastní klíč (BYOK). Pokud zakážete BYOK, stane se hlavním klíčem pro vaši organizaci běžný výchozí klíč Webexu. |
| 3 |
Vyberte Nahrát vlastní klíč a klikněte na Další. |
| 4 |
Klikněte na Stáhnout veřejný klíč. Uložte veřejný klíč Webex HSM do souboru .pem ve vašem lokálním systému. |
| 5 |
Vytvořte kryptograficky bezpečný 256bitový (32bajtový) náhodný klíč pomocí softwaru pro správu klíčů. |
| 6 |
K zašifrování nového klíče použijte veřejný klíč Webex HSM. Požadované šifrovací parametry jsou:
Viz Příklad: Vytvořte a zašifrujte klíče pomocí OpenSSL na kartě Zdroje v tomto článku.
|
| 7 |
Přetáhněte zašifrovaný klíč ze souborového systému a umístěte jej do oblasti pro nahrávání v rozhraní Control Hub nebo klikněte na Vybrat soubor. |
| 8 |
Klepněte na tlačítko Další. Webex nahraje váš klíč do HSM, kde je dešifrován a ověřen. Control Hub vám poté zobrazí ID vašeho nového CMK a ID aktuálně aktivního CMK, pokud existuje. Pokud se jedná o váš první klíč CMK, aktuálně aktivním klíčem je běžný výchozí klíč Webexu (ten, který aktuálně používáme pro šifrování klíčů vaší organizace). |
| 9 |
Vyberte, jak chcete klíč aktivovat:
|
Co dělat dál
Veškerý existující obsah zpětně nešifrujeme. Jakmile aktivujete svůj CMK, veškerý nový obsah (prostory a schůzky) bude znovu zašifrován a chráněn.
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . |
| 3 |
Přejděte k aktivnímu CMK. |
| 4 |
Klikněte na |
| 5 |
Vytvořte a zašifrujte nový klíč (pokud jste tak ještě neučinili). Postup je popsán v části Vytvoření a aktivace hlavního klíče zákazníka v tomto článku.
|
| 6 |
Přetáhněte nový klíč ze souborového systému a umístěte ho do Control Hubu. |
| 7 |
Klikněte na Aktivovat nový klíč. Nově nahraný klíč přejde do aktivního stavu. Starý klíč CMK zůstává v rotaci (stav opětovného šifrování), dokud Webex nedokončí šifrování veškerého svého obsahu pomocí nového aktivního klíče CMK. Po opětovném zašifrování se klíč přesune do stavu Vyřazeno. Webex poté odstraní starý klíč CMK. |
a vyberte | 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . |
| 3 |
Přejděte k aktivnímu klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte zrušení klíče. Úplné zrušení klíče může trvat až 10 minut.
|
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . |
| 3 |
Přejděte k aktuálně zrušenému klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte aktivaci klíče. Dříve zrušený klíč přejde do aktivního stavu.
|
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . |
| 3 |
Přejděte k zrušenému klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte smazání klíče. Po smazání máte možnost klíč obnovit do 30 dnů.
|
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . |
| 3 |
Přejděte k odstraněnému klíči. |
| 4 |
Klikněte na |
| 5 |
Potvrďte obnovení klíče. Po obnovení vám Control Hub zobrazí klíč ve stavu „Zrušeno“ před jeho smazáním. Pokud například odstraníte zrušený klíč a poté jej obnovíte, Control Hub zobrazí obnovený klíč ve stavu Zrušeno.
|
Vlastnictví
Převzetím vlastnictví vašeho klíče AWS KMS musíte:
- Převezměte odpovědnost za bezpečné vytváření a zálohování klíčů AWS KMS.
- Pochopte důsledky ztráty klíčů AWS KMS.
- Doporučuje se alespoň jednou ročně znovu zašifrovat aktivní klíč AMS KMS.
Autorizace
- Musíte mít oprávnění k vytváření a správě klíčů v AWS KMS pro vaši organizaci Webex.
- Musíte mít přístup ke své organizaci Webex v Control Hubu. Pro správu klíče AWS KMS musíte být s oprávněními správce s plnými oprávněními.
| 1 |
Přihlaste se do AWS a přejděte do konzole AWS KMS. |
| 2 |
Vyberte Klíče spravované zákazníkem a poté klikněte na Vytvořit klíč. |
| 3 |
Vytvořte klíč s následujícími atributy:
|
| 4 |
Klepněte na tlačítko Další. |
| 5 |
Zkontrolujte nastavení a klikněte na Dokončit. Váš klíč AWS KMS je vytvořen.
|
| 6 |
Přejděte do sekce Klíče spravované zákazníkem a kliknutím na alias nebo ID klíče zobrazte ARN. |
Co dělat dál
Doporučujeme vám ponechat si dočasnou kopii ARN. Toto ARN se používá k přidání a aktivaci vašeho klíče AWS KMS v Control Hub.
Doporučujeme také vytvořit záložní klíč, abyste zajistili dostupnost a odolnost dat. To umožňuje přístup k šifrovaným datům i během regionálních výpadků. Další informace naleznete v tomto článku v části Vytvoření záložního klíče AWS KMS.
Než začnete
Před vytvořením záložního klíče se ujistěte, že jste vytvořili klíč pro více regionů. Další informace naleznete v části Vytvoření klíče AWS KMS v tomto článku.
| 1 |
Přihlaste se do AWS a přejděte do konzole AWS KMS. |
| 2 |
Vyberte nově vytvořený klíč pro více oblastí. |
| 3 |
V části Regionalitaklikněte na Vytvořit nové replikační klíče. |
| 4 |
Vyberte záložní region ze seznamu regionů AWS a klikněte na tlačítko Další. Například pokud byl klíč vytvořen v oblasti US West (us-west-1), zvažte vytvoření záložního klíče v oblasti US East (us-east-1).
|
| 5 |
Vytvořte klíč s následujícími atributy:
|
| 6 |
Klepněte na tlačítko Další. |
| 7 |
Zkontrolujte nastavení, zaškrtněte potvrzovací políčko a klikněte na Vytvořit nové repliky klíčů. |
Službu Cisco KMS můžete autorizovat k přístupu ke klíči AWS KMS vytvořením grantu KMS nebo konfigurací role IAM. Vyberte si možnost, která nejlépe vyhovuje potřebám vaší organizace, abyste zajistili bezpečnou a flexibilní integraci správy klíčů.
Použití grantu KMS
Tato metoda zahrnuje přímé udělení oprávnění Cisco KMS k provádění kryptografických operací s vaším klíčem AWS KMS.
| 1 |
Přihlaste se do AWS a přejděte do konzole AWS CloudShell. |
| 2 |
Spusťte Znak |
Používání role IAM
Vytvořte zásadu IAM s potřebnými oprávněními KMS a poté ji připojte k roli IAM, kterou může Cisco KMS převzít, což umožní bezpečnou a centralizovanou správu přístupu.
Konfigurace zásad IAM
| 1 |
Přihlaste se do AWS a přejděte do konzole AWS KMS. |
| 2 |
Přejít na . |
| 3 |
V levém navigačním panelu vyberte Zásadya poté klikněte na Vytvořit zásadu. |
| 4 |
V části Editor zásad vyberte možnost JSON. |
| 5 |
Zkopírujte a vložte následující dokument s pravidly. Nahraďte |
| 6 |
Klepněte na tlačítko Další. |
| 7 |
Zadejte název zásady a volitelný popis. |
| 8 |
Klikněte na Vytvořit zásady. |
Konfigurace role IAM
| 1 |
Přihlaste se do AWS a přejděte do konzole AWS KMS. |
| 2 |
Přejít na . |
| 3 |
V levém navigačním panelu vyberte Rolea poté klikněte na Vytvořit roli. |
| 4 |
V části Typ důvěryhodné entityvyberte Účet AWS. |
| 5 |
Vyberte Další účet AWS. |
| 6 |
Do pole ID účtu zadejte ID účtu AWS uvedené v rozhraní Control Hub. Toto je stejné ID účtu, které je součástí |
| 7 |
Klepněte na tlačítko Další. |
| 8 |
V části Přidat oprávněnívyhledejte a vyberte zásadu IAM, kterou jste právě vytvořili. |
| 9 |
Klepněte na tlačítko Další. |
| 10 |
Zadejte název role a volitelný popis. |
| 11 |
Zkontrolujte nastavení a klikněte na Vytvořit roli. |
Než začnete
Před aktivací klíče AWS KMS v Control Hubu je nutné jej vytvořit. Viz Vytvoření klíče AWS KMS v tomto článku.
Musíte poskytnout Webexu přístup ke klíči AWS KMS. Viz Autorizace Cisco KMS s přístupem ke klíči AWS KMS v tomto článku.
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do a zapněte Přineste si vlastní klíč (BYOK). Pokud zakážete BYOK, stane se hlavním klíčem pro vaši organizaci běžný výchozí klíč Webexu. |
| 3 |
Vyberte Přidat klíč AWS KMS a klikněte na Další. |
| 4 |
Získejte následující ARN z konzole AWS:
|
| 5 |
V Control Hubu zadejte primární klíč ARN. V případě potřeby zadejte také do příslušných polí záložní klíč ARN a role IAM ARN. Poté klikněte na Přidat. Váš primární klíč ARN se nahraje do Cisco KMS, kde se ověřuje přístup ke klíči. Control Hub vám poté zobrazí ID klíče Cisco KMS vašeho nového klíče AWS KMS a aktuálně aktivní ID klíče Cisco KMS, pokud existuje. Pokud se jedná o váš první klíč AWS KMS, aktuálně aktivním klíčem je běžný výchozí klíč Webex (ten, který aktuálně používáme k šifrování klíčů vaší organizace). |
| 6 |
Vyberte, jak chcete aktivovat svůj klíč:
|
| 1 |
Přihlaste se do Control Huba přejděte do . |
| 2 |
Přejděte k aktivnímu klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Zadejte svůj nový klíč AWS KMS a nové ARN a klikněte na Přidat. Postup je popsán v tomto článku v části Přidání a aktivace klíče AMS KMS.
|
| 5 |
Klikněte na tlačítko Aktivovat. Nový nahraný klíč AWS KMS přejde do aktivního stavu. Starý klíč AWS KMS zůstane ve stavu Rotating (Rotující), dokud Webex nedokončí šifrování veškerého obsahu pomocí nového aktivního klíče AWS KMS. Po opětovném zašifrování starý klíč AWS KMS automaticky zmizí z Control Hubu. |
| 1 |
Přihlaste se do Control Huba přejděte do . |
| 2 |
Klikněte na Přidat další klíč. |
| 3 |
Zadejte svůj nový klíč AWS KMS a klikněte na tlačítko Přidat. Control Hub vám zobrazí ID klíče Cisco KMS vašeho nového klíče AWS KMS a ID aktuálně aktivního ID klíče Cisco KMS. Postup je popsán v tomto článku v části Přidání a aktivace klíče AMS KMS. |
| 4 |
Klikněte na tlačítko Aktivovat. Nový nahraný klíč AWS KMS přejde do aktivního stavu. Starý klíč AWS KMS zůstane ve stavu Rotating (Rotující), dokud Webex nedokončí šifrování veškerého obsahu pomocí nového aktivního klíče AWS KMS. Po opětovném zašifrování starý klíč AWS KMS automaticky zmizí z Control Hubu. |
| 1 |
Přihlaste se do Control Huba přejděte do . |
| 2 |
Přejděte k aktuálně aktivnímu klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Potvrďte zrušení klíče. Úplné zrušení klíče může trvat až 10 minut. Klíč AWS KMS přejde do stavu Lokálně odvolán.
|
Pokud správce vašeho zákazníka zruší klíč z konzole AWS KMS, zobrazí se klíč AWS KMS v Control Hubu ve stavu Zrušeno společností Amazon.
| 1 |
Přihlaste se do Control Huba přejděte do . |
| 2 |
Přejděte k odvolanému klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Potvrďte smazání klíče. Po smazání můžete klíč obnovit do 30 dnů. |
Doporučujeme nejprve odstranit klíč AWS KMS z Control Hubu a teprve poté odstranit klíč CMK z konzole AWS. Pokud smažete klíč CMK z konzole AWS před smazáním klíče AWS KMS v Control Hubu, můžete narazit na problémy.
Před odstraněním klíče CMK z konzole AWS se ujistěte, že klíč AWS KMS již není v Control Hubu viditelný.
| 1 |
Přihlaste se do Control Huba přejděte do . |
| 2 |
Přejděte k odstraněnému klíči AWS KMS. |
| 3 |
Klikněte na |
| 4 |
Potvrďte obnovení klíče. Po obnovení vám Control Hub zobrazí klíč ve stavu Zrušeno. |
Pokud narazíte na problémy s klíčem AWS KMS, použijte k jejich vyřešení následující informace.
-
Klíč AWS KMS (ARN). Například
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Stav klíče AWS KMS. Například klíč AWS KMS je zakázán.
Tento příklad používá nástroje příkazového řádku OpenSSL verze 3.0. Více informací o těchto nástrojích naleznete v OpenSSL.
| 1 |
Přihlaste se k Centru řízení. |
| 2 |
Přejděte do . |
| 3 |
Klikněte na Stáhnout veřejný klíč. Veřejný klíč Webex HSM získáte v souboru .pem ve vašem lokálním systému. |
| 4 |
Vytvořte 256bitový (32bajtový) klíč: V příkladu je pro váš nový nešifrovaný klíč použit název souboru main_key.bin. Alternativně můžete vygenerovat 32bajtovou náhodnou hodnotu pomocí hexadecimálního výpisu, Pythonu nebo online generátorů. Můžete si také vytvořit a spravovat svůj klíč AWS KMS. |
| 5 |
Použijte veřejný klíč Webex HSM k zašifrování nového klíče: V příkladu je pro zašifrovaný výstupní klíč použit název souboru main_key_encrypted.bin a název souboru path/to/public.pem pro veřejný klíč Webexu. Zašifrovaný klíč je připraven k nahrání do Control Hubu. |
