Om kundens hovednøgler

Som en del af vores forpligtelse til slutpunkt-til-slutpunkt-sikkerhed har Webex en hovednøgle på vegne af hver organisation. Vi kalder det en hovednøgle, fordi den ikke krypterer indhold direkte, men bruges til at kryptere din organisations andre nøgler, der krypterer indholdet. Basisniveauet for nøglehierarkiet kaldes indholdsnøglen (CK), og de mellemliggende niveauer af nøglerne kaldes nøglekrypteringsnøgler (KEK).

Vi anerkender, at nogle organisationer foretrækker at administrere deres egen sikkerhed, så vi giver dig mulighed for at administrere din egen kundehovednøgle (CMK). Det betyder, at du tager ansvar for at oprette og rotere (genkryptere) den hovednøgle, som Webex bruger til at kryptere dine indholdskrypteringsnøgler.

Fremadrettet henviser en nøgle til CMK, medmindre andet er angivet.

Sådan fungerer det

  1. Webex opbevarer din CMK i et hardwaresikkerhedsmodul (HSM), så Webex-tjenesteydelserne ikke har adgang til CMK-værdien.

  2. Control Hub viser din aktuelt aktive eller tilbagekaldte CMK og enhver afventende CMK, der er gemt i HSM. Når du har brug for at rotere (genkryptere) CMK, genererer du din nye CMK og krypterer den med HSM'ens offentlige nøgle, så det kun er HSM, der kan dekryptere og gemme den.

  3. Du overfører og aktiverer derefter den nye CMK i Control Hub. Webex begynder med det samme at bruge den nye CMK til kryptering af dine indholdsnøgler. Webex beholder den gamle CMK, men kun indtil det er sikkert, at dine indholdskrypteringsnøgler er sikret af den nye CMK.

Vi genkrypterer ikke alt det eksisterende indhold med tilbagevirkende kraft. Når du aktiverer din CMK, krypteres alt nyt indhold (rum og møder) igen og beskyttes.
Om AWS KMS-nøgler

Vi anerkender, at nogle organisationer foretrækker at administrere deres egen nøgle uden for Webex. Det er derfor, vi giver dig mulighed for at administrere din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Dette indebærer, at du er ansvarlig for at administrere dine nøgler i AWS KMS. Du giver Webex tilladelse til at kryptere og dekryptere ved hjælp af din AWS KMS-nøgle via AWS-konsollen. Du giver Webex dit AWS KMS-nøgle-id i stedet for dit CMK. Det betyder, at du tager ansvar for at oprette og rotere (genkryptere) den AWS KMS-nøgle, som Webex bruger til at kryptere dine indholdskrypteringsnøgler i skyen.

Sådan fungerer det

  1. Du opretter en nøgle med AWS. AWS KMS bruges til at administrere din nøgle og gemmer nøglen i et hardwaresikkerhedsmodul (HSM).

  2. Du giver Webex adgang til at bruge AWS KMS-nøglen via AWS-konsollen.

    Det betyder, at du giver Webex adgang til AWS KMS-nøglen i stedet for at overføre din CMK til Control Hub. AWS KMS-nøglen forlader ikke din AWS KMS, og Webex-tjenesteydelser har ikke adgang til AWS KMS-nøglematerialet.

    Control Hub viser din aktuelt aktive eller tilbagekaldte AWS KMS-nøgle og enhver afventende AWS KMS-nøgle, der er gemt i AWS KMS. Når du har brug for at rotere AWS KMS-nøglen, genererer du din nye AWS KMS-nøgle med AWS KMS-konsollen.

  3. Du tilføjer og aktiverer derefter den nye AWS KMS-nøgle i Control Hub og giver den Amazon Resource Name (ARN) for den nye AWS KMS-nøgle. Webex begynder med det samme at bruge den nye AWS KMS-nøgle til kryptering af dine indholdsnøgler. Webex kræver ikke længere den gamle AWS KMS-nøgle. Den gamle AWS KMS-nøgle forsvinder fra Control Hub, når dine indholdskrypteringsnøgler er roteret og sikret af den nye AWS KMS-nøgle. Webex sletter ikke AWS KMS-nøglen fra AWS KMS. Din kundeadministrator kan fjerne nøglen fra AWS KMS.

Nøgletilstande og livscyklus

Nøglelivscyklus

Nøgletilstandsdefinitioner

Under behandling

En nøgle i denne tilstand gemmes i HSM, men den bruges endnu ikke til kryptering. Webex bruger ikke denne CMK til kryptering.

Der kan kun være én nøgle i denne tilstand.
Aktiv

Webex bruger i øjeblikket denne CMK til at kryptere andre nøgler for din organisation.

Der kan kun være én nøgle i denne tilstand.
Rotation

Webex bruger midlertidigt denne CMK. Webex skal bruge den til at dekryptere dine data og nøgler, der tidligere blev krypteret af denne nøgle. Denne nøgle trækkes tilbage, når rotationen (genkryptering) er fuldført.

Flere nøgler kan være i denne tilstand, hvis en ny nøgle aktiveres, før rotationen er fuldført.
Trukket tilbage

Webex bruger ikke denne CMK. Denne nøgle bruges ikke længere til kryptering. Der indstilles en nøgle tid til live, hvorefter denne nøgle fjernes fra HSM'en.

Tilbagekaldt

Webex bruger ikke denne CMK. Selvom der er data og nøgler, der blev krypteret med denne nøgle, kan Webex ikke bruge den til at dekryptere data og nøgler.

  • Du behøver kun at tilbagekalde en aktiv nøgle, hvis du har mistanke om, at den er kompromitteret. Det er en alvorlig beslutning, fordi den forhindrer mange operationer i at opføre sig korrekt. Du vil f.eks. ikke kunne oprette nye rum, og du vil ikke kunne dekryptere indhold i Webex-klienten.
  • Der kan kun være én nøgle i denne tilstand. Du skal genaktivere denne nøgle for at rotere (genkryptere) en ny nøgle.
  • Denne CMK kan slettes, men du behøver ikke at slette den. Det kan være en god ide at beholde den til dekryptering/genkryptering, når du har løst det formodede sikkerhedsbrud.
Slettet

Webex bruger ikke denne CMK. Adfærden i denne tilstand er den samme som tilbagekaldt tilstand, bortset fra at der indstilles en nøgle tid til live, hvorefter denne nøgle fjernes fra HSM.

  • Hvis en slettet CMK går videre til tilstanden Fjernet, skal du gendanne den oprindelige nøgle for at gendanne funktionaliteten til organisationen.
  • Vi anbefaler, at du opbevarer en sikkerhedskopi af din oprindelige nøgle, ellers vil din organisation ikke længere fungere.
Fjernet

Dette er en logisk tilstand. Webex har ikke denne CMK gemt i HSM. Den vises ikke i Control Hub.

Krav

Ejerskab

Når du tager ejerskabet af din CMK, skal du:

  • Tag ansvar for sikker oprettelse og sikkerhedskopiering af dine nøgler
  • Forstå konsekvenserne af at miste dine nøgler
  • Genkrypter din aktive CMK mindst én gang om året som bedste praksis

Nøgleoprettelse

Du skal oprette din egen CMK ved hjælp af disse parametre. Din nøgle skal være:

  • 256 bit (32 byte) lang
  • Krypteret med RSA-OAEP-skemaet
  • Krypteret med den offentlige nøgle til Webex Cloud HSM

Din nøglegenereringssoftware skal kunne:

  • SHA-256-hash-funktion
  • Funktion til generering af MGF1-maske
  • PKCS nr. 1 OAEP-fyldning

Se Eksempel: Opret og krypter nøgler med OpenSSL under fanen Ressourcer i denne artikel.

Godkendelse

Du skal have adgang til din Webex-organisation i Control Hub. Du skal være fuld administrator for at administrere din CMK.

Opret og aktivér din kundes hovednøgle
1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

For at aktivere BYOK skal du slå Bring Your Own Key (BYOK) til. Hvis du deaktiverer BYOK, bliver den fælles Webex-standardnøgle hovednøglen for din organisation.

3

Vælg Overfør en brugerdefineret nøgle , og klik på Næste.

4

Klik på Download offentlig nøgle.

Gem den offentlige Webex HSM-nøgle i en .pem-fil på dit lokale system.

5

Opret en kryptografisk sikker 256-bit (32 byte) vilkårlig nøgle ved hjælp af din nøgleadministrationssoftware.

6

Brug den offentlige Webex HSM-nøgle til at kryptere din nye nøgle.

De påkrævede krypteringsparametre er:

  • RSA-OAEP-ordning
  • SHA-256-hash-funktion
  • Funktion til generering af MGF1-maske
  • PKCS nr. 1 OAEP-fyldning
Se Eksempel: Opret og krypter nøgler med OpenSSL under fanen Ressourcer i denne artikel.
7

Træk den krypterede nøgle fra dit filsystem, og slip den i uploadområdet i Control Hub-grænsefladen, eller klik på Vælg en fil.

8

Klik på Næste.

Webex overfører din nøgle til HSM, hvor den bliver dekrypteret og valideret. Derefter viser Control Hub dig id'et for din nye CMK og id'et for den aktuelt aktive CMK, hvis der er nogen.

Hvis dette er din første CMK, er den aktuelt aktive nøgle den fælles Webex-standardnøgle (den, vi bruger i øjeblikket til at kryptere din organisations nøgler).

9

Vælg, hvordan du vil aktivere din nøgle:

  • Aktivér ny nøgle: Den nye CMK skifter med det samme til tilstanden Aktiv. Den tidligere aktive CMK skifter til Rotation (genkrypteringstilstand), indtil alt dit indhold er beskyttet af den nye CMK, hvorefter Webex sletter den tidligere aktive CMK.
  • Aktivér senere: Den nye CMK flyttes til tilstanden under behandling. Webex opbevarer denne CMK i HSM, men bruger den endnu ikke. Webex fortsætter med at bruge den aktuelt aktive CMK til kryptering af din organisations nøgler.

Næste trin

Vi genkrypterer ikke alt det eksisterende indhold med tilbagevirkende kraft. Når du aktiverer din CMK, krypteres alt nyt indhold (rum og møder) igen og beskyttes.
Drej din nøgle
1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

3

Gå til den aktive CMK.

4

Klik på Menuen Mere , og vælg Drej.

5

Opret og krypter en ny nøgle (hvis du endnu ikke har gjort det).

Processen er beskrevet i Opret og aktivér din kundes hovednøgle i denne artikel.
6

Træk den nye nøgle fra dit filsystem, og slip den i Control Hub.

7

Klik på Aktivér ny nøgle.

Den nye nøgle, du har overført, går i tilstanden Aktiv.

Den gamle CMK forbliver i rotation (genkrypteringstilstand), indtil Webex er færdig med at kryptere alt indholdet med den nye aktive CMK. Når du har krypteret igen, flyttes nøglen til tilstanden Tilbagekaldt. Webex sletter derefter den gamle CMK.

Tilbagekald din nøgle
1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

3

Gå til den aktive nøgle.

4

Klik på Menuen Mere , og vælg Tilbagekald.

5

Bekræft tilbagekaldelsen af nøglen.

Det kan tage op til 10 minutter at tilbagekalde din nøgle helt.
Aktivér din tilbagekaldte nøgle igen
1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

3

Gå til den aktuelt tilbagekaldte nøgle.

4

Klik på Menuen Mere , og vælg Aktivér.

5

Bekræft nøgleaktiveringen.

Den tidligere tilbagekaldte nøgle skifter til tilstanden Aktiv.
Slet din tilbagekaldte nøgle
1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

3

Gå til den tilbagekaldte nøgle.

4

Klik på Menuen Mere , og vælg Slet.

5

Bekræft sletningen af nøglen.

Når den er slettet, har du mulighed for at gendanne nøglen inden for 30 dage.
Gendan din tilbagekaldte nøgle
1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

3

Gå til den slettede nøgle.

4

Klik på Menuen Mere , og vælg Fortryd.

5

Bekræft genoprettelsen af nøglen.

Når den er gendannet, viser Control Hub dig nøglen i tilstanden Tilbagekaldt, før den blev slettet. Hvis du f.eks. sletter en tilbagekaldt nøgle og derefter gendanner nøglen, viser Control Hub den gendannede nøgle i tilstanden Tilbagekaldt.

Krav

Ejerskab

Når du tager ejerskab af din AWS KMS-nøgle, skal du:

  • Tag ansvar for sikker oprettelse og sikkerhedskopiering af dine AWS KMS-nøgler.
  • Forstå konsekvenserne af at miste dine AWS KMS-nøgler.
  • Krypter din aktive AMS KMS-nøgle igen mindst én gang om året som bedste praksis.

Godkendelse

  • Du skal være autoriseret til at oprette og administrere dine nøgler i AWS KMS for din Webex-organisation.
  • Du skal have adgang til din Webex-organisation i Control Hub. Du skal være fuld administrator for at administrere din AWS KMS-nøgle.
Opret en AWS KMS-nøgle
1

Log ind på AWS , og gå til AWS KMS-konsollen.

2

Vælg Kundeadministrerede nøgler , og klik derefter på Opret nøgle.

3

Opret nøglen med følgende attributter:

  • Nøgletype – vælg Symmetrisk.
  • Nøglebrug – vælg Krypter og dekrypter.
  • Mærkater – angiv alias, beskrivelse og mærker.
  • Nøgleadministratorer – vælg din organisations nøgleadministratorbrugere og -roller.
  • Sletning af nøgle – markér Tillad nøgleadministratorer at slette denne nøgle.
  • Nøglebrugere – vælg din organisations nøglebrugere og roller.
4

Klik på Næste.

5

Gennemse dine indstillinger, og klik på Afslut.

Din AWS KMS-nøgle er oprettet.
6

Gå til Kundeadministrerede nøgler , og klik på aliasset eller nøgle-id'et for at se ARN.

Næste trin

Vi anbefaler, at du opbevarer en midlertidig kopi af ARN. Denne ARN bruges til at tilføje og aktivere din AWS KMS-nøgle i Control Hub.

Godkend Cisco KMS med adgang til AWS KMS-nøglen
1

Log ind på AWS , og gå til AWS CloudShell-konsollen.

2

Kør opret-tilskud for at godkende Webex på følgende måde:

aws kms create-grant \ --name {UNIQUE_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWS_KMS Key} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
For eksempel: 
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx \ --operations Kryptér Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxxxx:user/kms- cisco-user
KMS_CISCO_BRUGER_ARN er specifik for din organisation. ARN vises i vinduet Tilføj din AWS-nøgle, når du aktiverer din nye AWK KMS-nøgle i Control Hub.
Tilføj og aktivér din AWS KMS-nøgle

Før du begynder

Du skal oprette en AWS KMS-nøgle, før du aktiverer den i Control Hub. Se Opret en AWS KMS-nøgle i denne artikel.

Du skal give Webex adgang til AWS KMS-nøglen. Se Godkend Cisco KMS med adgang til AWS KMS-nøglen i denne artikel.

1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration, og slå Bring Your Own Key (BYOK) til.

Hvis du deaktiverer BYOK, bliver den fælles Webex-standardnøgle hovednøglen for din organisation.

3

Vælg Tilføj AWS KMS-nøgle , og klik på Næste.

4

Hent ARN fra AWS-konsollen.

5

Indtast ARN i Control Hub, og klik på Tilføj.

Din nøgle-ARN bliver overført til Cisco KMS, hvor adgang til nøglen valideres. Control Hub viser dig derefter Cisco KMS-nøgle-ID'et for din nye AWS KMS-nøgle og det aktuelt aktive Cisco KMS-nøgle-ID, hvis det findes.

Hvis dette er din første AWS KMS-nøgle, er den aktuelt aktive nøgle Webex fælles standardnøgle (den, vi bruger i øjeblikket til at kryptere din organisations nøgler).

6

Vælg, hvordan du vil aktivere din nøgle:

  • Aktivér: Den nye AWS KMS-nøgle skifter med det samme til tilstanden Aktiv.
  • Aktivér senere: Den nye AWS KMS-nøgle flyttes til tilstanden Under behandling. Webex opbevarer denne AWS KMS-nøgle-ARN i Cisco KMS, men bruger den endnu ikke. Webex fortsætter med at bruge den aktuelt aktive AWS KMS-nøgle til kryptering af din organisations nøgler.
Rotér din AWS KMS-nøgle
1

Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.

2

Gå til den aktive AWS KMS-nøgle.

3

Klik på Menuen Mere , og vælg Drej.

4

Indtast din nye AWS KMS-nøgle og nye ARN, og klik på Tilføj.

Processen er beskrevet i Tilføj og aktivér din AMS KMS-nøgle i denne artikel.
5

Klik på Aktivér.

Den nye AWS KMS-nøgle, du har overført, går i tilstanden Aktiv.

Den gamle AWS KMS-nøgle forbliver i roterende tilstand, indtil Webex er færdig med at kryptere alt indholdet med den nye aktive AWS KMS-nøgle. Efter genkryptering forsvinder den gamle AWS KMS-nøgle automatisk fra Control Hub.

Rotér for at tilføje en anden AWS KMS-nøgle (valgfri)
1

Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.

2

Klik på Tilføj en anden nøgle.

3

Indtast din nye AWS KMS-nøgle, og klik på Tilføj.

Control Hub viser dig Cisco KMS-nøgle-ID'et for din nye AWS KMS-nøgle og id'et for det aktuelt aktive Cisco KMS-nøgle-ID.

Processen er beskrevet i Tilføj og aktivér din AMS KMS-nøgle i denne artikel.

4

Klik på Aktivér.

Den nye AWS KMS-nøgle, du har overført, går i tilstanden Aktiv.

Den gamle AWS KMS-nøgle forbliver i roterende tilstand, indtil Webex er færdig med at kryptere alt indholdet med den nye aktive AWS KMS-nøgle. Efter genkryptering forsvinder den gamle AWS KMS-nøgle automatisk fra Control Hub.

Tilbagekald din AWS KMS-nøgle
1

Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.

2

Gå til den aktuelt aktive AWS KMS-nøgle.

3

Klik på Menuen Mere , og vælg Tilbagekald lokalt.

4

Bekræft tilbagekaldelsen af nøglen.

Det kan tage op til 10 minutter at tilbagekalde din nøgle helt. AWS KMS-nøglen går i tilstanden Lokalt tilbagekaldt.

Hvis din kundeadministrator tilbagekalder nøglen fra AWS KMS-konsollen, vises AWS KMS-nøglen i tilstanden Tilbagekaldt af Amazon i Control Hub.

Slet din AWS KMS-nøgle
1

Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.

2

Gå til den tilbagekaldte AWS KMS-nøgle.

3

Klik på Menuen Mere , og vælg Slet.

4

Bekræft sletningen af nøglen.

Når den er slettet, kan du gendanne nøglen inden for 30 dage.

Vi anbefaler, at du sletter AWS KMS-nøglen fra Control Hub først, før du sletter din CMK fra AWS-konsollen. Hvis du sletter din CMK fra AWS-konsollen, før du sletter AWS KMS-nøglen i Control Hub, kan du støde på problemer.

Sørg for, at AWS KMS-nøglen ikke længere er synlig i Control Hub, før du sletter din CMK fra AWS-konsollen.

Gendan din AWS KMS-nøgle
1

Log ind på Control Hub, og gå til Organisationsindstillinger > Nøgleadministration.

2

Gå til den slettede AWS KMS-nøgle.

3

Klik på Menuen Mere , og vælg Fortryd.

4

Bekræft genoprettelsen af nøglen.

Når den er gendannet, viser Control Hub dig nøglen i tilstanden Tilbagekaldt.

Fejlfinding af din AWS KMS-nøgle

Hvis du støder på problemer med din AWS KMS-nøgle, skal du bruge følgende oplysninger til fejlfinding af den.

  • ARN for AWS KMS-nøgle. F.eks. arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Bevillinger på AWS KMS-nøglen.

  • AWS KMS-nøgletilstand. AWS KMS-nøglen er f.eks. deaktiveret.

Eksempel: Opret og krypter nøgler med OpenSSL

Dette eksempel bruger version 3.0 af OpenSSL-kommandolinjeværktøjerne. Se OpenSSL for mere om disse værktøjer.

1

Log ind på Control Hub.

2

Gå til Organisationsindstillinger > Nøgleadministration.

3

Klik på Download offentlig nøgle.

Du får den offentlige Webex HSM-nøgle i en .pem-fil på dit lokale system.

4

Opret en nøgle til 256-bit (32 byte): openssl rand -out main_key.bin 32.

Eksemplet bruger filnavnet main_key.bin til din ikke-krypterede nye nøgle.

Alternativt kan du generere en 32-byte tilfældig værdi ved hjælp af Hex-dump, Python eller online-generatorer. Du kan også oprette og administrere din AWS KMS-nøgle.

5

Brug den offentlige Webex HSM-nøgle til at kryptere din nye nøgle:

openssl pkeyutl -encrypt -pubin -inkey sti/til/offentlig.pem -i main_key.bin -ud main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Eksemplet bruger filnavnet main_key_encrypted.bin til den krypterede outputnøgle og filnavnet sti/to/public.pem til den offentlige Webex-nøgle.

Den krypterede nøgle er klar til at blive overført til Control Hub.

Relateret læsning