Administrer din egen kundehovednøgle

Om kundens hovednøgler

Som en del af vores engagement i end-to-end-sikkerhed har Webex en hovednøgle på vegne af hver organisation. Vi kalder det en hovednøgle, fordi den ikke krypterer indhold direkte, men den bruges til at kryptere din organisations andre nøgler, der krypterer indholdet. Nøglehierarkiets basisniveau kaldes indholdsnøglen (CK), og de mellemliggende niveauer af nøglerne kaldes key encryption keys (KEK).

Vi anerkender, at nogle organisationer foretrækker at administrere deres egen sikkerhed, så vi giver dig mulighed for at administrere din egen kundehovednøgle (CMK). Det betyder, at du tager ansvar for at oprette og rotere (genkryptere) den hovednøgle, som Webex bruger til at kryptere dine indholdskrypteringsnøgler.

Fremadrettet henviser en tast til CMK'en, medmindre andet er angivet.

Sådan fungerer det

Webex opbevarer din CMK i et hardwaresikkerhedsmodul (HSM), så Webex tjenesterne ikke har adgang til CMK-værdien.
Control Hub viser din aktuelt aktive eller tilbagekaldte CMK og eventuelle ventende CMK'er, der er gemt i HSM. Når du har brug for at rotere (genkryptere) CMK'en, genererer du din nye CMK og krypterer den med HSM's offentlige nøgle, så kun HSM'en kan dekryptere og gemme den.
Derefter uploader og aktiverer du den nye CMK i Control Hub. Webex begynder straks at bruge den nye CMK til kryptering af dine indholdsnøgler. Webex beholder den gamle CMK, men kun indtil den er sikker på, at dine krypteringsnøgler til indhold er sikret af den nye CMK.

Vi krypterer ikke alt det eksisterende indhold med tilbagevirkende kraft. Når du aktiverer din CMK, krypteres alt nyt indhold (rum og møder) igen og beskyttes.

Om AWS KMS-nøgler

Vi anerkender, at nogle organisationer foretrækker at administrere deres egen nøgle uden for Webex. Derfor giver vi dig mulighed for at administrere din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Dette betyder, at du er ansvarlig for at administrere dine nøgler i AWS KMS. Du giver Webex tilladelse til at kryptere og dekryptere ved hjælp af din AWS KMS-nøgle via AWS-konsollen. Du giver Webex dit AWS KMS-nøgle-id i stedet for dit CMK. Det betyder, at du tager ansvar for at oprette og rotere (genkryptere) den AWS KMS-nøgle, som Webex bruger til at kryptere dine indholdskrypteringsnøgler i skyen.

Sådan fungerer det

Du opretter en nøgle med AWS. AWS KMS bruges til at administrere din nøgle og gemme nøglen i et hardware-sikkerhedsmodul (HSM).
Du giver Webex adgang til at bruge AWS KMS-nøglen via AWS-konsollen.

Det betyder, at du i stedet for at overføre din CMK til Control Hub giver Webex adgang til AWS KMS-nøglen. AWS KMS-nøglen efterlader ikke dine AWS KMS, og Webex-tjenesteydelser har ikke adgang til AWS KMS-nøglematerialet.

Control Hub viser din aktuelt aktive eller tilbagekaldte AWS KMS-nøgle og enhver afventende AWS KMS-nøgle, der er gemt i AWS KMS. Når du har brug for at rotere AWS KMS-nøglen, genererer du din nye AWS KMS-nøgle med AWS KMS-konsollen.
Du tilføjer og aktiverer derefter den nye AWS KMS-nøgle i Control Hub og giver den Amazon Resource Name (ARN) for den nye AWS KMS-nøgle. Webex begynder med det samme at bruge den nye AWS KMS-nøgle til kryptering af dine indholdsnøgler. Webex kræver ikke længere den gamle AWS KMS-nøgle. Den gamle AWS KMS-nøgle forsvinder fra Control Hub, når dine indholdskrypteringsnøgler roteres og sikres af den nye AWS KMS-nøgle. Webex sletter ikke AWS KMS-nøglen fra AWS KMS. Din kundeadministrator kan fjerne nøglen fra AWS KMS.

Nøgletilstande og livscyklus

Nøglens livscyklus

Definitioner af nøgletilstande

Afventende

En nøgle i denne tilstand er gemt i HSM, men den er endnu ikke brugt til kryptering. Webex bruger ikke denne CMK til kryptering.

Kun én tast kan være i denne tilstand.

Aktiv

Webex bruger i øjeblikket denne CMK til at kryptere andre nøgler til din organisation.

Kun én tast kan være i denne tilstand.

Rotation

Webex bruger midlertidigt denne CMK. Webex skal bruge den til at dekryptere dine data og nøgler, der tidligere blev krypteret med denne nøgle. Denne nøgle fjernes, når rotationen (genkryptering) er fuldført.

Flere taster kan være i denne tilstand, hvis en ny tast aktiveres, før rotationen er fuldført.

Pensioneret

Webex bruger ikke denne CMK. Denne nøgle bruges ikke længere til kryptering. Der indstilles en nøglelevetid, hvorefter denne nøgle fjernes fra HSM.

Tilbagekaldt

Webex bruger ikke denne CMK. Selvom der er data og nøgler, der blev krypteret med denne nøgle, kan Webex ikke bruge den til at dekryptere data og nøgler.

Du behøver kun at tilbagekalde en aktiv nøgle, hvis du har mistanke om, at den er blevet kompromitteret. Dette er en alvorlig beslutning, fordi den forhindrer mange handlinger i at opføre sig korrekt. For eksempel vil du ikke være i stand til at oprette nye rum, og du vil ikke være i stand til at dekryptere noget indhold i Webex Client.
Kun én tast kan være i denne tilstand. Du skal genaktivere denne nøgle for at rotere (genkryptere) en ny nøgle.
Denne CMK kan slettes, men du behøver ikke at slette den. Du vil muligvis beholde den til dekryptering/genkryptering, når du har løst det formodede sikkerhedsbrud.

Slettet

Webex bruger ikke denne CMK. Funktionsmåden i denne tilstand er den samme som i tilstanden tilbagekaldt, bortset fra at der indstilles en nøgletid-til-levetid, hvorefter denne nøgle fjernes fra HSM.

Hvis en slettet CMK fortsætter til tilstanden Fjernet, skal du gendanne den oprindelige nøgle for at gendanne funktionaliteten til organisationen.

Vi anbefaler, at du gemmer en sikkerhedskopi af din originalnøgle, ellers fungerer din organisation ikke længere.

Fjernet

Dette er en logisk tilstand. Webex har ikke denne CMK gemt i HSM. Den vises ikke i Control Hub.

Krav

Ejerskab

Ved at overtage ejerskabet af din CMK skal du:

Tag ansvar for sikker oprettelse og sikkerhedskopi af dine nøgler
Forstå konsekvenserne af at miste dine nøgler
Genkrypter din aktive CMK mindst én gang om året som bedste praksis

Oprettelse af tast

Du skal oprette din egen CMK ved hjælp af disse parametre. Din nøgle skal være:

256 bit (32 byte) lang
Krypteret med RSA-OAEP-skemaet
Krypteret med den offentlige Webex Cloud HSM-nøgle

Din nøglegenereringssoftware skal kunne:

SHA-256 hash-funktion
MGF1 maskegenereringsfunktion
PKCS#1 OAEP-polstring

Der henvises til Eksempel: Opret og krypter nøgler med OpenSSL under fanen Ressourcer i denne artikel.

Godkendelse

Du skal have adgang til din Webex organisation i Control Hub. Du skal være en fuld administrator til at administrere din CMK.

Opret og aktiver din kundehovednøgle

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring . Skift til for at aktivere BYOK Medbring din egen nøgle (BYOK) tændt. Hvis du deaktiverer BYOK, vises Fælles Webex standardnøgle bliver hovednøglen for din organisation.
3	Vælg Overfør en brugerdefineret nøgle , og klik på Næste.
4	Klik på Download offentlig nøgle . Gem den offentlige Webex HSM-nøgle i en .pem-fil på dit lokale system.
5	Opret en kryptografisk sikker 256-bit (32 byte) tilfældig nøgle ved hjælp af din software til nøgleadministration.
6	Brug den offentlige Webex HSM-nøgle til at kryptere din nye nøgle. De påkrævede krypteringsparametre er: RSA-OAEP-skema SHA-256 hash-funktion MGF1 maskegenereringsfunktion PKCS#1 OAEP-polstring Der henvises til Eksempel: Opret og krypter nøgler med OpenSSL under fanen Ressourcer i denne artikel.
7	Træk den krypterede nøgle fra dit filsystem, og slip den i uploadområdet i Control Hub-grænsefladen, eller klik på Vælg en fil .
8	Klik på Næste. Webex uploader din nøgle til HSM, hvor den bliver dekrypteret og valideret. Derefter viser Control Hub dig ID for din nye CMK og ID for den aktuelt aktive CMK, hvis der er nogen. Hvis dette er din første CMK, er den aktuelt aktive nøgle Fælles Webex standardnøgle (den, vi i øjeblikket bruger til at kryptere din organisations nøgler).
9	Vælg, hvordan du vil aktivere din nøgle: Aktivér ny tast : Den nye CMK går straks i tilstanden Aktiv. Den tidligere aktive CMK går i rotation (genkrypteringstilstand), indtil alt dit indhold er beskyttet af den nye CMK, hvorefter Webex sletter den tidligere aktive CMK. Aktivér senere : Den nye CMK flytter til tilstanden Venter. Webex gemmer denne CMK i HSM, men bruger den ikke endnu. Webex fortsætter med at bruge den aktuelt aktive CMK til kryptering af din organisations nøgler.

Næste trin

Vi krypterer ikke alt det eksisterende indhold med tilbagevirkende kraft. Når du aktiverer din CMK, vil alt nyt indhold (rum og møder) blive krypteret og beskyttet igen.

Drej på din tast

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring .
3	Gå til den aktive CMK.
4	Klik og vælg Roter.
5	Opret og krypter en ny nøgle (hvis du ikke har gjort det endnu). Processen er beskrevet i Opret og aktiver din kundehovednøgle i denne artikel.
6	Træk den nye nøgle fra dit filsystem, og slip den i Control Hub.
7	Klik på Aktivér ny tast . Den nye nøgle, du har overført, skifter til tilstanden Aktiv. Den gamle CMK forbliver i rotation (genkrypteringstilstand), indtil Webex er færdig med at kryptere alt sit indhold med den nye aktive CMK. Efter genkryptering flyttes nøglen til den pensionerede tilstand. Webex sletter derefter den gamle CMK.

Tilbagekald din nøgle

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring .
3	Gå til den aktive tast.
4	Klik og vælg Tilbagekald.
5	Bekræft nøgletilbagekaldelse. Det kan op til 10 minutter at tilbagekalde din nøgle fuldt ud.

Genaktiver din tilbagekaldte nøgle

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring .
3	Gå til den aktuelt tilbagekaldte nøgle.
4	Klik og vælg Aktivér.
5	Bekræft nøgleaktivering. Den tidligere tilbagekaldte nøgle går i tilstanden Aktiv.

Slet din tilbagekaldte nøgle

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring .
3	Gå til den tilbagekaldte nøgle.
4	Klik og vælg Slet.
5	Bekræft sletningen af nøglen. Når den er slettet, har du mulighed for at gendanne nøglen inden for 30 dage.

Gendan din tilbagekaldte nøgle

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring .
3	Gå til den slettede nøgle.
4	Klik og vælg Annuller.
5	Bekræft tastgendannelse. Når den er gendannet, viser Control Hub dig nøglen i tilstanden Tilbagekaldt, før den blev slettet. Hvis du f.eks. sletter en tilbagekaldt nøgle og derefter gendanner nøglen, viser Control Hub den gendannede nøgle i tilstanden Tilbagekaldt.

Krav

Ejerskab

Ved at tage ejerskab af din AWS KMS-nøgle skal du:

Tag ansvar for sikker oprettelse og sikkerhedskopi af dine AWS KMS-nøgler.
Forstå konsekvenserne af at miste dine AWS KMS-nøgler.
Krypter din aktive AMS KMS-nøgle mindst én gang om året som bedste praksis.

Godkendelse

Du skal have tilladelse til at oprette og administrere dine nøgler i AWS KMS for din Webex-organisation.
Du skal have adgang til din Webex organisation i Control Hub. Du skal være administrator med fulde rettigheder for at administrere din AWS KMS-nøgle.

Opret en AWS KMS-nøgle

1	Log ind på AWS , og gå til AWS KMS-konsollen.
2	Vælg Kundeadministrerede nøgler, og klik derefter på Opret nøgle.
3	Opret nøglen med følgende attributter: Tasttype – vælg symmetrisk. Tastforbrug – vælg Krypter og dekrypter. Etiketter – Indtast aliaser, beskrivelse og tags. Nøgleadministratorer – vælg din organisations nøgleadministratorbrugere og roller. Sletning af tast – markér Tillad nøgleadministratorer at slette denne nøgle. Nøglebrugere – vælg din organisations nøglebrugere og roller.
4	Klik på Næste.
5	Gennemgå dine indstillinger, og klik på Afslut. Din AWS KMS-nøgle er oprettet.
6	Gå til kundeadministrerede nøgler , og klik på alias eller nøgle-id'et for at få vist ARN.

Næste trin

Vi anbefaler, at du opbevarer en midlertidig kopi af RN. Denne ARN bruges til at tilføje og aktivere din AWS KMS-nøgle i Control Hub.

Godkend Cisco KMS med adgang til AWS KMS-nøglen

Log ind på AWS , og gå til AWS CloudShell-konsollen.

Kør create-grant at godkende Webex som følger:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Eksempel:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Fil KMS_CISCO_USER_ARN er specifik for din organisation. ARN vises i vinduet Tilføj din AWS-tast, når du aktiverer din nye AWK KMS-nøgle i Control Hub.

Tilføj og aktivér din AWS KMS-nøgle

Før du begynder

Du skal oprette en AWS KMS-nøgle, før du aktiverer den i Control Hub. Se Opret en AWS KMS-nøgle i denne artikel.

Du skal give Webex adgang til AWS KMS-nøglen. Se Godkend Cisco KMS med adgang til AWS KMS-nøglen i denne artikel.

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøgleadministration, og slå Bring din egen nøgle (BYOK) til. Hvis du deaktiverer BYOK, vises Fælles Webex standardnøgle bliver hovednøglen for din organisation.
3	Vælg Tilføj AWS KMS-nøgle , og klik på Næste.
4	Få ARN fra AWS-konsollen.
5	Indtast ARN i Control Hub, og klik på Tilføj. Din nøgle-ARN overføres til Cisco KMS, hvor adgang til nøglen er valideret. Derefter viser Control Hub dig Cisco KMS-nøgle-id'et for din nye AWS KMS-nøgle og det aktuelt aktive Cisco KMS-nøgle-id, hvis nogen. Hvis dette er din første AWS KMS-nøgle, er den aktuelle aktive nøgle den almindelige Webex-nøgle (den, vi bruger i øjeblikket til kryptering af din organisations nøgler).
6	Vælg, hvordan du vil aktivere din nøgle: Aktivér: Den nye AWS KMS-nøgle går øjeblikkeligt ind i den aktive tilstand. Aktivér senere : Den nye AWS KMS-nøgle flyttes ind i tilstanden Afventende. Webex beholder ARN til denne AWS KMS-nøgle i Cisco KMS, men bruger den endnu ikke. Webex fortsætter med at bruge den aktuelt aktive AWS KMS-nøgle til kryptering af din organisations nøgler.

Drej din AWS KMS-nøgle

1	Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.
2	Gå til den aktive AWS KMS-nøgle.
3	Klik og vælg Roter.
4	Indtast din nye AWS KMS-nøgle og ny ARN, og klik på Tilføj. Processen er beskrevet i Tilføj og aktivér din AMS KMS-nøgle i denne artikel.
5	Klik på Aktivér. Den nye AWS KMS-nøgle, du har overført, går i tilstanden Aktiv. Den gamle AWS KMS-nøgle forbliver i rotationstilstanden, indtil Webex er færdig med at kryptere alt sit indhold med den nye Active AWS KMS-nøgle. Efter genkryptering forsvinder den gamle AWS KMS-nøgle automatisk fra Control Hub.

Roter for at tilføje en anden AWS KMS-nøgle (valgfri)

1	Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.
2	Klik på Tilføj en anden nøgle.
3	Indtast din nye AWS KMS-nøgle, og klik på Tilføj. Control Hub viser dig Cisco KMS-nøgle-id'et for din nye AWS KMS-nøgle og id'et for det aktuelt aktive Cisco KMS-nøgle-id. Processen er beskrevet i Tilføj og aktivér din AMS KMS-nøgle i denne artikel.
4	Klik på Aktivér. Den nye AWS KMS-nøgle, du har overført, går i tilstanden Aktiv. Den gamle AWS KMS-nøgle forbliver i rotationstilstanden, indtil Webex er færdig med at kryptere alt sit indhold med den nye Active AWS KMS-nøgle. Efter genkryptering forsvinder den gamle AWS KMS-nøgle automatisk fra Control Hub.

Tilbagekald din AWS KMS-nøgle

1	Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.
2	Gå til den aktuelt aktive AWS KMS-nøgle.
3	Klik og vælg Tilbagekald lokalt.
4	Bekræft nøgletilbagekaldelse. Det kan op til 10 minutter at tilbagekalde din nøgle fuldt ud. AWS KMS-nøglen går i den Lokalt tilbagekaldte tilstand.

Hvis din kundeadministrator tilbagekalder nøglen fra AWS KMS-konsollen, vises AWS KMS-nøglen i tilstanden Tilbagekaldt af Amazon i Control Hub.

Slet din AWS KMS-nøgle

1	Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.
2	Gå til den tilbagekaldte AWS KMS-nøgle.
3	Klik og vælg Slet.
4	Bekræft sletningen af nøglen. Når den er slettet, kan du gendanne nøglen inden for 30 dage.

Vi anbefaler, at du sletter AWS KMS-nøglen fra Control Hub først, før du sletter din CMK fra AWS-konsollen. Hvis du sletter din CMK fra AWS-konsollen, før du sletter AWS KMS-tasten i Control Hub, kan der opstå problemer.

Sørg for, at AWS KMS-tasten ikke længere er synlig i Control Hub, før du sletter din CMK fra AWS-konsollen.

Gendan din AWS KMS-nøgle

1	Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.
2	Gå til den slettede AWS KMS-nøgle.
3	Klik og vælg Annuller.
4	Bekræft tastgendannelse. Når den er gendannet, viser Control Hub dig nøglen i tilstanden Tilbagekaldt.

Fejlfinding af din AWS KMS-nøgle

Hvis du har problemer med din AWS KMS-nøgle, skal du bruge følgende oplysninger til at foretage fejlfinding af den.

ARN til AWS KMS-nøgle. Eksempel: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Tilskud på AWS KMS-nøglen.
AWS KMS-nøgletilstand. For eksempel er AWS KMS-nøglen deaktiveret.

Eksempel: Opret og krypter nøgler med OpenSSL

Dette eksempel bruger version 3.0 af OpenSSL-kommandolinjeværktøjerne. Se OpenSSL for mere om disse værktøjer.

1	Log ind på Control Hub.
2	Gå til Organisationsindstillinger > Nøglestyring .
3	Klik på Download offentlig nøgle . Du får den offentlige Webex HSM-nøgle i en .pem-fil på dit lokale system.
4	Opret en 256-bit (32 byte) nøgle: `openssl rand 32 -out main_key.bin` Eksemplet bruger filnavnetmain_key .bin for din ikke-krypterede nye nøgle.
5	Brug den offentlige Webex HSM-nøgle til at kryptere din nye nøgle: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Eksemplet bruger filnavnetmain_key_encrypted .bin for den krypterede outputnøgle og filnavnet path/to/public.pem for den offentlige Webex nøgle. Den krypterede nøgle er klar til at blive overført til Control Hub.