Tak for din feedback.
Administrer din egen kundehovednøgle
Har du feedback?Denne funktion understøttes ikke i Webex for Government.
Som en del af vores engagement i end-to-end-sikkerhed har Webex en hovednøgle på vegne af hver organisation. Vi kalder det en hovednøgle, fordi den ikke krypterer indhold direkte, men den bruges til at kryptere din organisations andre nøgler, som krypterer indholdet. Basisniveauet i nøglehierarkiet kaldes indholdsnøglen (CK), og de mellemliggende niveauer af nøglerne kaldes nøglekrypteringsnøgler (KEK).
Vi anerkender, at nogle organisationer foretrækker at administrere deres egen sikkerhed, så vi giver dig mulighed for at administrere din egen kundehovednøgle (CMK). Det betyder, at du tager ansvar for at oprette og rotere (genkryptere) den primære nøgle, som Webex bruger til at kryptere dine indholdskrypteringsnøgler.
Fremadrettet refererer en nøgle til CMK, medmindre andet er angivet.
Sådan fungerer det
-
Webex opbevarer din CMK i et hardwaresikkerhedsmodul (HSM), så Webex-tjenesterne ikke har adgang til CMK-værdien.
-
Control Hub viser din aktuelt aktive eller tilbagekaldte CMK og eventuelle ventende CMK'er, der er gemt i HSM'en. Når du skal rotere (genkryptere) CMK'en, genererer du din nye CMK og krypterer den med HSM'ens offentlige nøgle, så kun HSM'en kan dekryptere og gemme den.
-
Derefter uploader og aktiverer du den nye CMK i Control Hub. Webex begynder straks at bruge den nye CMK til at kryptere dine indholdsnøgler. Webex beholder den gamle CMK, men kun indtil det er sikkert, at dine indholdskrypteringsnøgler er sikret af den nye CMK.
Vi krypterer ikke alt eksisterende indhold med tilbagevirkende kraft. Når du aktiverer din CMK, bliver alt nyt indhold (rum og møder) krypteret og beskyttet igen.
Vi anerkender, at nogle organisationer foretrækker at administrere deres egen nøgle uden for Webex. Derfor giver vi dig muligheden for at administrere din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Det indebærer, at du er ansvarlig for at administrere dine nøgler i AWS KMS. Du bemyndiger Webex til at kryptere og dekryptere ved hjælp af din AWS KMS-nøgle via AWS-konsollen. Du giver Webex dit AWS KMS-nøgle-ID i stedet for dit CMK. Det betyder, at du tager ansvar for at oprette og rotere (genkryptere) den AWS KMS-nøgle, som Webex bruger til at kryptere dine indholdskrypteringsnøgler i skyen.
Sådan fungerer det
-
Du opretter en nøgle med AWS. AWS KMS bruges til at administrere din nøgle og gemmer nøglen i et hardwaresikkerhedsmodul (HSM).
-
Du giver Webex adgang til at bruge AWS KMS-nøglen via AWS-konsollen.
Det betyder, at i stedet for at uploade din CMK til Control Hub, giver du Webex adgang til AWS KMS-nøglen. AWS KMS-nøglen efterlader ikke din AWS KMS, og Webex-tjenester har ikke adgang til AWS KMS-nøglematerialet.
Control Hub viser din aktuelt aktive eller tilbagekaldte AWS KMS-nøgle og enhver ventende AWS KMS-nøgle, der er gemt i AWS KMS. Når du skal rotere AWS KMS-nøglen, genererer du din nye AWS KMS-nøgle med AWS KMS-konsollen.
-
Derefter tilføjer og aktiverer du den nye AWS KMS-nøgle i Control Hub og angiver Amazon Resource Name (ARN) for den nye AWS KMS-nøgle. Webex begynder straks at bruge den nye AWS KMS-nøgle til kryptering af dine indholdsnøgler. Webex kræver ikke længere den gamle AWS KMS-nøgle. Den gamle AWS KMS-nøgle forsvinder fra Control Hub, når dine indholdskrypteringsnøgler er roteret og sikret af den nye AWS KMS-nøgle. Webex sletter ikke AWS KMS-nøglen fra AWS KMS. Din kundeadministrator kan fjerne nøglen fra AWS KMS.
Nøglelivscyklus
Definitioner af nøgletilstande
- Under behandling
-
En nøgle i denne tilstand er gemt i HSM'en, men den bruges endnu ikke til kryptering. Webex bruger ikke denne CMK til kryptering.
Kun én nøgle kan være i denne tilstand.
- Aktivt
-
Webex bruger i øjeblikket denne CMK til at kryptere andre nøgler for din organisation.
Kun én nøgle kan være i denne tilstand.
- Rotation
-
Webex bruger midlertidigt denne CMK. Webex skal bruge den til at dekryptere dine data og nøgler, der tidligere blev krypteret af denne nøgle. Denne nøgle udfases, når rotationen (genkrypteringen) er fuldført.
Flere nøgler kan være i denne tilstand, hvis en ny nøgle aktiveres, før rotationen er fuldført.
- Trukket tilbage
-
Webex bruger ikke denne CMK. Denne nøgle bruges ikke længere til kryptering. Der indstilles en nøglelevetid, hvorefter denne nøgle fjernes fra HSM'en.
- Tilbagekaldt
-
Webex bruger ikke denne CMK. Selv hvis der er data og nøgler, der er krypteret med denne nøgle, kan Webex ikke bruge den til at dekryptere dataene og nøglerne.
- Du behøver kun at tilbagekalde en aktiv nøgle, hvis du har mistanke om, at den er kompromitteret. Dette er en alvorlig beslutning, fordi den forhindrer mange operationer i at fungere korrekt. For eksempel vil du ikke kunne oprette nye rum, og du vil ikke kunne dekryptere noget indhold i Webex-klienten.
- Kun én nøgle kan være i denne tilstand. Du skal genaktivere denne nøgle for at rotere (genkryptere) en ny nøgle.
- Denne CMK kan slettes, men du behøver ikke at slette den. Du kan eventuelt gemme den til dekryptering. / genkryptering, efter du har løst det formodede sikkerhedsbrud.
- Slettet
-
Webex bruger ikke denne CMK. Adfærden i denne tilstand er den samme som i tilstanden Tilbagekaldt, bortset fra at der angives en nøglelevetid, hvorefter denne nøgle fjernes fra HSM'en.
- Hvis en slettet CMK går videre til tilstanden Fjernet, skal du gendanne den oprindelige nøgle for at gendanne funktionaliteten i organisationen.
- Vi anbefaler, at du beholder en sikkerhedskopi af din originale nøgle, ellers vil din organisation ikke længere fungere.
- Fjernet
-
Dette er en logisk tilstand. Webex har ikke denne CMK gemt i HSM'en. Den vises ikke i Control Hub.
Ejerskab
Ved at tage ejerskab over din CMK skal du:
- Tag ansvar for sikker oprettelse og sikkerhedskopiering af dine nøgler
- Forstå konsekvenserne af at miste dine nøgler
- Genkrypter din aktive CMK mindst én gang om året som en god praksis
Nøgleoprettelse
Du skal oprette din egen CMK ved hjælp af disse parametre. Din nøgle skal være:
- 256 bit (32 bytes) lang
- Krypteret med RSA-OAEP-ordningen
- Krypteret med Webex Cloud HSM's offentlige nøgle
Din nøglegenereringssoftware skal kunne:
- SHA-256 hash-funktion
- MGF1-maskegenereringsfunktion
- PKCS#1 OAEP-polstring
Se Eksempel: Opret og krypter nøgler med OpenSSL i fanen Ressourcer i denne artikel.
Godkendelse
Du skal have adgang til din Webex-organisation i Control Hub. Du skal være fuld administratorfor at administrere din CMK.
| 1 | |
| 2 |
Gå til . For at aktivere BYOK skal du slå Medbring din egen nøgle (BYOK) til. Hvis du deaktiverer BYOK, bliver den almindelige standardnøgle Webex den primære nøgle for din organisation. |
| 3 |
Vælg Upload en brugerdefineret nøgle og klik på Næste. |
| 4 |
Klik på Download offentlig nøgle. Gem den offentlige Webex HSM-nøgle i en .pem-fil på dit lokale system. |
| 5 |
Opret en kryptografisk sikker 256-bit (32 byte) tilfældig nøgle ved hjælp af din nøglehåndteringssoftware. |
| 6 |
Brug den offentlige Webex HSM-nøgle til at kryptere din nye nøgle. De nødvendige krypteringsparametre er:
Se Eksempel: Opret og krypter nøgler med OpenSSL i fanen Ressourcer i denne artikel.
|
| 7 |
Træk den krypterede nøgle fra dit filsystem, og slip den i uploadområdet i Control Hub-grænsefladen, eller klik på Vælg en fil. |
| 8 |
Klik på Næste. Webex uploader din nøgle til HSM'en, hvor den bliver dekrypteret og valideret. Derefter viser Control Hub dig ID'et for din nye CMK og ID'et for den aktuelt aktive CMK, hvis der er et. Hvis dette er din første CMK, er den aktuelt aktive nøgle Webex' fælles standardnøgle (den vi i øjeblikket bruger til at kryptere din organisations nøgler). |
| 9 |
Vælg hvordan du vil aktivere din nøgle:
|
Næste trin
Vi krypterer ikke alt eksisterende indhold med tilbagevirkende kraft. Når du aktiverer din CMK, vil alt nyt indhold (rum og møder) blive krypteret og beskyttet igen.
| 1 | |
| 2 |
Gå til . |
| 3 |
Gå til den aktive CMK. |
| 4 |
Klik på |
| 5 |
Opret og krypter en ny nøgle (hvis du ikke allerede har gjort det). Processen er beskrevet i Opret og aktiver din kundehovednøgle i denne artikel.
|
| 6 |
Træk den nye nøgle fra dit filsystem, og slip den i Control Hub. |
| 7 |
Klik på Aktiver ny nøgle. Den nye nøgle, du har uploadet, går i aktiv tilstand. Den gamle CMK forbliver i rotation (genkrypteringstilstand), indtil Webex er færdig med at kryptere alt sit indhold med den nye aktive CMK. Efter genkryptering flyttes nøglen til tilstanden "Pensioneret". Webex sletter derefter den gamle CMK. |
og vælg | 1 | |
| 2 |
Gå til . |
| 3 |
Gå til den slettede nøgle. |
| 4 |
Klik på |
| 5 |
Bekræft nøglegendannelsen. Når den er gendannet, viser Control Hub dig nøglen i tilstanden Tilbagekaldt, før den blev slettet. Hvis du for eksempel sletter en tilbagekaldt nøgle og derefter gendanner nøglen, viser Control Hub den gendannede nøgle i tilstanden Tilbagekaldt.
|
Ejerskab
Ved at tage ejerskab over din AWS KMS-nøgle skal du:
- Tag ansvar for sikker oprettelse og sikkerhedskopiering af dine AWS KMS-nøgler.
- Forstå konsekvenserne af at miste dine AWS KMS-nøgler.
- Det er en god praksis at genkryptere din aktive AMS KMS-nøgle mindst én gang om året.
Godkendelse
- Du skal være autoriseret til at oprette og administrere dine nøgler i AWS KMS for din Webex-organisation.
- Du skal have adgang til din Webex-organisation i Control Hub. Du skal være fuld administratorfor at administrere din AWS KMS-nøgle.
| 1 |
Log ind på AWS og gå til AWS KMS-konsollen. |
| 2 |
Vælg Kundeadministrerede nøgler og klik derefter på Opret nøgle. |
| 3 |
Opret nøglen med følgende attributter:
|
| 4 |
Klik på Næste. |
| 5 |
Gennemgå dine indstillinger, og klik på Udfør. Din AWS KMS-nøgle er oprettet.
|
| 6 |
Gå til Kundeadministrerede nøgler og klik på Alias eller Nøgle-ID for at se ARN'en. |
Næste trin
Vi anbefaler, at du beholder en midlertidig kopi af ARN-nummeret. Dette ARN bruges til at tilføje og aktivere din AWS KMS-nøgle i Control Hub.
Vi anbefaler også, at du opretter en backupnøgle for at sikre datatilgængelighed og robusthed. Dette giver adgang til krypterede data selv under regionale afbrydelser. For yderligere information, se Opret en backup AWS KMS-nøgle i denne artikel.
Før du begynder
Sørg for, at du har oprettet en nøgle til flere regioner, før du fortsætter med at oprette en backupnøgle. For yderligere information, se Opret en AWS KMS-nøgle i denne artikel.
| 1 |
Log ind på AWS og gå til AWS KMS-konsollen. |
| 2 |
Vælg den nyoprettede nøgle til flere regioner. |
| 3 |
Under Regionalitetskal du klikke på Opret nye replikanøgler. |
| 4 |
Vælg en backupregion fra listen over AWS-regioner, og klik på Næste. Hvis nøglen for eksempel blev oprettet i det vestlige USA (us-west-1), bør du overveje at oprette backupnøglen i det østlige USA (us-east-1).
|
| 5 |
Opret nøglen med følgende attributter:
|
| 6 |
Klik på Næste. |
| 7 |
Gennemgå dine indstillinger, marker bekræftelsesfeltet, og klik på Opret nye replikanøgler. |
Du kan give Cisco KMS adgang til din AWS KMS-nøgle ved at oprette en KMS-tilladelse eller konfigurere en IAM-rolle. Vælg den mulighed, der bedst passer til din organisations behov, for at sikre sikker og fleksibel integration af nøglehåndtering.
Brug af et KMS-tilskud
Denne metode involverer direkte tildeling af Cisco KMS-tilladelser til at udføre kryptografiske operationer på din AWS KMS-nøgle.
| 1 |
Log ind på AWS og gå til AWS CloudShell-konsollen. |
| 2 |
Kør |
Brug af en IAM-rolle
Opret en IAM-politik med de nødvendige KMS-tilladelser, og tilknyt den derefter til en IAM-rolle, som Cisco KMS kan påtage sig, hvilket muliggør sikker og centraliseret adgangsstyring.
Konfigurer en IAM-politik
| 1 |
Log ind på AWS og gå til AWS KMS-konsollen. |
| 2 |
Gå til . |
| 3 |
I venstre navigationsrude skal du vælge Politikkerog derefter klikke på Opret politik. |
| 4 |
I afsnittet Politikeditor skal du vælge indstillingen JSON. |
| 5 |
Kopiér og indsæt følgende politikdokument. Erstat |
| 6 |
Klik på Næste. |
| 7 |
Indtast et Politiknavn og en valgfri Beskrivelse. |
| 8 |
Klik på Opret politik. |
Konfigurer en IAM-rolle
| 1 |
Log ind på AWS og gå til AWS KMS-konsollen. |
| 2 |
Gå til . |
| 3 |
I venstre navigationsrude skal du vælge Rollerog derefter klikke på Opret rolle. |
| 4 |
Under Type af betroet enhedskal du vælge AWS-konto. |
| 5 |
Vælg En anden AWS-konto. |
| 6 |
I feltet Konto-ID skal du indtaste det AWS-konto-ID, der er angivet i Control Hub-grænsefladen. Dette er det samme konto-ID, der er en del af |
| 7 |
Klik på Næste. |
| 8 |
Under Tilføj tilladelserskal du søge efter og vælge den IAM-politik, du lige har oprettet. |
| 9 |
Klik på Næste. |
| 10 |
Indtast et Rollenavn og en valgfri Beskrivelse. |
| 11 |
Gennemgå dine indstillinger, og klik på Opret rolle. |
Før du begynder
Du skal oprette en AWS KMS-nøgle, før du aktiverer den i Control Hub. Se Opret en AWS KMS-nøgle i denne artikel.
Du skal give Webex adgang til AWS KMS-nøglen. Se Godkend Cisco KMS med adgang til AWS KMS-nøglen i denne artikel.
| 1 | |
| 2 |
Gå til og slå Medbring din egen nøgle (BYOK) til. Hvis du deaktiverer BYOK, bliver den almindelige standardnøgle Webex den primære nøgle for din organisation. |
| 3 |
Vælg Tilføj AWS KMS-nøgle og klik på Næste. |
| 4 |
Hent følgende ARN'er fra AWS-konsollen:
|
| 5 |
I Control Hub skal du indtaste den primære nøgle ARN. Hvis det er relevant, skal du også indtaste Backup-nøgle ARN og IAM-rolle ARN i deres respektive felter. Klik derefter på Tilføj. Din primære nøgle ARN uploades til Cisco KMS, hvor adgang til nøglen valideres. Derefter viser Control Hub dig Cisco KMS-nøgle-ID'et for din nye AWS KMS-nøgle og det aktuelt aktive Cisco KMS-nøgle-ID, hvis der er et. Hvis dette er din første AWS KMS-nøgle, er den aktuelt aktive nøgle Webex' fælles standardnøgle (den vi i øjeblikket bruger til at kryptere din organisations nøgler). |
| 6 |
Vælg hvordan du vil aktivere din nøgle:
|
| 1 |
Log ind på Control Hub, og gå til . |
| 2 |
Gå til den aktive AWS KMS-nøgle. |
| 3 |
Klik på |
| 4 |
Indtast din nye AWS KMS-nøgle og nye ARN, og klik på Tilføj. Processen er beskrevet i Tilføj og aktivér din AMS KMS-nøgle i denne artikel.
|
| 5 |
Klik på Aktivér. Den nye AWS KMS-nøgle, som du har uploadet, går i aktiv tilstand. Den gamle AWS KMS-nøgle forbliver i roterende tilstand, indtil Webex er færdig med at kryptere alt dens indhold med den nye aktive AWS KMS-nøgle. Efter genkryptering forsvinder den gamle AWS KMS-nøgle automatisk fra Control Hub. |
| 1 |
Log ind på Control Hub, og gå til . |
| 2 |
Klik på Tilføj en anden nøgle. |
| 3 |
Indtast din nye AWS KMS-nøgle, og klik på Tilføj. Control Hub viser dig Cisco KMS-nøgle-ID'et for din nye AWS KMS-nøgle og ID'et for det aktuelt aktive Cisco KMS-nøgle-ID. Processen er beskrevet i Tilføj og aktivér din AMS KMS-nøgle i denne artikel. |
| 4 |
Klik på Aktivér. Den nye AWS KMS-nøgle, som du har uploadet, går i aktiv tilstand. Den gamle AWS KMS-nøgle forbliver i roterende tilstand, indtil Webex er færdig med at kryptere alt dens indhold med den nye aktive AWS KMS-nøgle. Efter genkryptering forsvinder den gamle AWS KMS-nøgle automatisk fra Control Hub. |
| 1 |
Log ind på Control Hub, og gå til . |
| 2 |
Gå til den aktuelt aktive AWS KMS-nøgle. |
| 3 |
Klik på |
| 4 |
Bekræft tilbagekaldelsen af nøglen. Det kan tage op til 10 minutter at tilbagekalde din nøgle fuldstændigt. AWS KMS-nøglen går i tilstanden Lokalt tilbagekaldt.
|
Hvis din kundeadministrator tilbagekalder nøglen fra AWS KMS-konsollen, vises AWS KMS-nøglen i tilstanden Tilbagekaldt af Amazon i Control Hub.
| 1 |
Log ind på Control Hub, og gå til . |
| 2 |
Gå til den tilbagekaldte AWS KMS-nøgle. |
| 3 |
Klik på |
| 4 |
Bekræft sletningen af nøglen. Når nøglen er slettet, kan du gendanne den inden for 30 dage. |
Vi anbefaler, at du først sletter AWS KMS-nøglen fra Control Hub, før du sletter din CMK fra AWS-konsollen. Hvis du sletter din CMK fra AWS-konsollen, før du sletter AWS KMS-nøglen i Control Hub, kan du støde på problemer.
Sørg for, at AWS KMS-nøglen ikke længere er synlig i Control Hub, før du sletter din CMK fra AWS-konsollen.
| 1 |
Log ind på Control Hub, og gå til . |
| 2 |
Gå til den slettede AWS KMS-nøgle. |
| 3 |
Klik på |
| 4 |
Bekræft nøglegendannelsen. Når den er gendannet, viser Control Hub dig nøglen i tilstanden Tilbagekaldt. |
Hvis du støder på problemer med din AWS KMS-nøgle, kan du bruge følgende oplysninger til at foretage fejlfinding.
-
AWS KMS-nøgle ARN. For eksempel,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
AWS KMS-nøgletilstand. For eksempel er AWS KMS-nøglen deaktiveret.
Dette eksempel bruger version 3.0 af OpenSSL-kommandolinjeværktøjerne. Se OpenSSL for mere information om disse værktøjer.
| 1 | |
| 2 |
Gå til . |
| 3 |
Klik på Download offentlig nøgle. Du får den offentlige Webex HSM-nøgle i en .pem-fil på dit lokale system. |
| 4 |
Opret en 256-bit (32 byte) nøgle: Eksemplet bruger filnavnet main_key.bin til din ukrypterede nye nøgle. Alternativt kan du generere en tilfældig værdi på 32 byte ved hjælp af Hex dump, Python eller online generatorer. Du kan også oprette og administrere din AWS KMS-nøgle. |
| 5 |
Brug den offentlige Webex HSM-nøgle til at kryptere din nye nøgle: Eksemplet bruger filnavnet main_key_encrypted.bin til den krypterede outputnøgle, og filnavnet path/to/public.pem for den offentlige Webex-nøgle. Den krypterede nøgle er klar til at blive uploadet til Control Hub. |
