Danke für Ihr Feedback.
Ihren eigenen Kunden-Hauptschlüssel verwalten
Feedback?
Im Rahmen unseres Engagements für durchgängige Sicherheit hält Webex einen Hauptschlüssel im Namen jeder Organisation. Wir nennen ihn einen Hauptschlüssel, weil er Inhalte nicht direkt verschlüsselt, aber verwendet wird, um die anderen Schlüssel Ihrer Organisation zu verschlüsseln, die den Inhalt verschlüsseln. Die Basisstufe der Schlüsselhierarchie wird als Content Key (CK) und die Zwischenstufen der Schlüssel als Key Encryption Keys (KEK) bezeichnet.
Wir wissen, dass einige Organisationen ihre eigene Sicherheit lieber verwalten möchten. Daher bieten wir Ihnen die Möglichkeit, Ihren eigenen Kunden-Hauptschlüssel (CMK) zu verwalten. Das bedeutet, dass Sie die Verantwortung für die Erstellung und das Drehen (erneute Verschlüsselung) des Hauptschlüssels übernehmen, den Webex für die Verschlüsselung Ihrer Inhalte verwendet.
Wenn nicht anders angegeben, bezieht sich ein Schlüssel in Zukunft auf die CMK.
Wie es funktioniert
-
Webex speichert Ihr CMK in einem Hardware-Sicherheitsmodul (HSM), damit die Webex-Dienste keinen Zugriff auf den CMK-Wert haben.
-
Control Hub zeigt Ihr derzeit aktives oder gesperrtes CMK und alle ausstehenden CMK an, die im HSM gespeichert sind. Wenn Sie den CMK drehen (neu verschlüsseln) müssen, generieren Sie den neuen CMK und verschlüsseln ihn mit dem öffentlichen Schlüssel des HSM, sodass nur der HSM ihn entschlüsseln und speichern kann.
-
Anschließend laden Sie das neue CMK in Control Hub hoch und aktivieren es. Webex beginnt sofort, das neue CMK zum Verschlüsseln Ihrer Inhaltsschlüssel zu verwenden. Webex behält die alte CMK bei, jedoch nur so lange, bis sichergestellt ist, dass die Verschlüsselungscodes für Inhalte durch die neue CMK geschützt sind.
Wir wissen, dass einige Organisationen ihren eigenen Schlüssel lieber außerhalb von Webex verwalten. Deshalb geben wir Ihnen die Möglichkeit, Ihre eigene CMK im Amazon Web Services (AWS) Key Management Service (KMS) zu verwalten. Dies impliziert, dass Sie für die Verwaltung Ihrer Schlüssel im AWS KMS verantwortlich sind. Sie autorisieren Webex, mit Ihrem AWS KMS-Schlüssel über die AWS-Konsole zu verschlüsseln und zu entschlüsseln. Sie stellen Webex Ihre AWS KMS-Schlüssel-ID statt CMK bereit. Das bedeutet, dass Sie die Verantwortung für die Erstellung und Rotation (erneute Verschlüsselung) des AWS KMS-Schlüssels übernehmen, den Webex für die Verschlüsselung Ihrer Inhaltsschlüssel in der Cloud verwendet.
Wie es funktioniert
-
Sie erstellen einen Schlüssel mit AWS. Der AWS KMS wird zur Verwaltung Ihres Schlüssels verwendet und speichert den Schlüssel in einem Hardware-Sicherheitsmodul (HSM).
-
Sie bieten Webex Zugriff, um den AWS KMS-Schlüssel über die AWS-Konsole zu verwenden.
Dies bedeutet, dass Sie Webex Zugriff auf den AWS KMS-Schlüssel gewähren, anstatt Ihr CMK in Control Hub hochzuladen. Der AWS KMS-Schlüssel hinterlässt nicht auf Ihrem AWS KMS und Webex-Dienste haben keinen Zugriff auf das AWS KMS-Schlüsselmaterial.
Control Hub zeigt Ihren derzeit aktiven oder widerrufenen AWS KMS-Schlüssel und jeden ausstehenden AWS KMS-Schlüssel an, der in AWS KMS gespeichert ist. Wenn Sie den AWS KMS-Schlüssel drehen müssen, generieren Sie Ihren neuen AWS KMS-Schlüssel mit der AWS KMS-Konsole.
-
Anschließend fügen Sie den neuen AWS KMS-Schlüssel in Control Hub hinzu und aktivieren ihn und stellen ihm den Amazon Resource Name (ARN) des neuen AWS KMS-Schlüssels zur Verfügung. Webex beginnt sofort mit der Verwendung des neuen AWS KMS-Schlüssels für die Verschlüsselung Ihrer Inhaltsschlüssel. Für Webex ist nicht mehr der alte AWS KMS-Schlüssel erforderlich. Der alte AWS KMS-Schlüssel wird im Control Hub verschwinden, nachdem Ihre Inhaltsverschlüsselungsschlüssel gedreht und durch den neuen AWS KMS-Schlüssel gesichert wurden. Webex löscht den AWS KMS-Schlüssel nicht aus dem AWS KMS. Der Kundenadministrator kann den Schlüssel aus dem AWS KMS entfernen.
Schlüssellebenszyklus
Schlüsselstatusdefinitionen
- Ausstehend
-
Ein Schlüssel in diesem Status wird im HSM gespeichert, aber noch nicht zur Verschlüsselung verwendet. Webex verwendet dieses CMK nicht zur Verschlüsselung.
In diesem Status kann sich nur ein Schlüssel befinden. - Aktiv
-
Webex verwendet diese CMK derzeit, um andere Schlüssel für Ihre Organisation zu verschlüsseln.
In diesem Status kann sich nur ein Schlüssel befinden. - Rotation
-
Webex verwendet dieses CMK vorübergehend. Webex benötigt sie, um Ihre Daten und Schlüssel zu entschlüsseln, die zuvor von diesem Schlüssel verschlüsselt wurden. Dieser Schlüssel wird entfernt, wenn die Rotation (erneute Verschlüsselung) abgeschlossen ist.
Mehrere Tasten können sich in diesem Status befinden, wenn ein neuer Schlüssel aktiviert wird, bevor die Rotation abgeschlossen ist. - Ausgemustert
-
Webex verwendet dieses CMK nicht. Dieser Schlüssel wird nicht mehr für die Verschlüsselung verwendet. Eine Gültigkeitsdauer des Schlüssels wird festgelegt, nach der dieser Schlüssel aus dem HSM entfernt wird.
- Gesperrt
-
Webex verwendet dieses CMK nicht. Selbst wenn Daten und Schlüssel mit diesem Schlüssel verschlüsselt wurden, kann Webex ihn nicht verwenden, um die Daten und Schlüssel zu entschlüsseln.
- Sie müssen einen aktiven Schlüssel nur sperren, wenn Sie vermuten, dass er kompromittiert ist. Dies ist eine ernsthafte Entscheidung, da sie viele Operationen daran hindert, sich richtig zu verhalten. Beispielsweise können Sie keine neuen Bereiche erstellen und keine Inhalte im Webex-Client entschlüsseln.
- In diesem Status kann sich nur ein Schlüssel befinden. Sie müssen diesen Schlüssel erneut aktivieren, um einen neuen Schlüssel zu drehen (neu zu verschlüsseln).
- Diese CMK kann gelöscht werden, Sie müssen sie jedoch nicht löschen. Möglicherweise möchten Sie ihn zur Entschlüsselung/erneuten Verschlüsselung beibehalten, nachdem Sie die vermutete Sicherheitsverletzung behoben haben.
- Gelöscht
-
Webex verwendet dieses CMK nicht. Das Verhalten in diesem Status entspricht dem des Status "Gesperrt", mit der Ausnahme, dass eine Gültigkeitsdauer des Schlüssels festgelegt wird, nach der dieser Schlüssel aus dem HSM entfernt wird.
- Wenn ein gelöschter CMK in den Status "Entfernt" übergeht, müssen Sie den ursprünglichen Schlüssel wiederherstellen, um die Funktionalität in der Organisation wiederherzustellen.
- Wir empfehlen Ihnen, eine Sicherungskopie Ihres ursprünglichen Schlüssels aufzubewahren, da Ihre Organisation ansonsten nicht mehr funktionsfähig ist.
- Entfernt
-
Das ist ein logischer Zustand. Webex hat dieses CMK nicht im HSM gespeichert. Sie wird in Control Hub nicht angezeigt.
Inhaberschaft
Durch die Übernahme des Eigentums an Ihrem CMK müssen Sie:
- Übernehmen Sie Verantwortung für die sichere Erstellung und Sicherung Ihrer Schlüssel
- Die Auswirkungen des Verlusts Ihrer Schlüssel verstehen
- Verschlüsseln Sie Ihren aktiven CMK mindestens einmal pro Jahr als Best Practice neu.
Schlüsselerstellung
Sie müssen Ihr eigenes CMK mit diesen Parametern erstellen. Ihr Schlüssel muss sein:
- 256 Bit (32 Byte) lang
- Verschlüsselt mit dem RSA-OAEP-Schema
- Verschlüsselt mit dem öffentlichen Schlüssel der Webex Cloud HSM
Ihre Software zur Schlüsselgenerierung muss in der Lage sein:
- SHA-256-Hash-Funktion
- MGF1-Maskenerzeugungsfunktion
- PKCS#1 OAEP-Polsterung
Siehe Beispiel: Erstellen und Verschlüsseln von Schlüsseln mit OpenSSL auf der Registerkarte „Ressourcen“ in diesem Artikel.
Autorisierung
Sie müssen im Control Hub auf Ihre Webex-Organisation zugreifen können. Sie müssen ein Volladministrator sein, um Ihren CMK zu verwalten.
| 1 | |
| 2 |
Gehen Sie zu . Um BYOK zu aktivieren, aktivieren Sie Bring Your Own Key (BYOK) . Wenn Sie BYOK deaktivieren, wird der allgemeine Webex-Standardschlüssel zum Hauptschlüssel für Ihre Organisation. |
| 3 |
Wählen Sie Benutzerdefinierten Schlüssel hochladen aus und klicken Sie auf Weiter. |
| 4 |
Klicken Sie auf Öffentlichen Schlüssel herunterladen. Speichern Sie den öffentlichen Webex HSM-Schlüssel in einer PEM-Datei auf Ihrem lokalen System. |
| 5 |
Erstellen Sie einen kryptografisch sicheren 256-Bit (32 Byte) Zufallsschlüssel mit Ihrer Schlüsselverwaltungssoftware. |
| 6 |
Verwenden Sie den öffentlichen Webex HSM-Schlüssel, um Ihren neuen Schlüssel zu verschlüsseln. Die erforderlichen Verschlüsselungsparameter sind:
Siehe Beispiel: Erstellen und Verschlüsseln von Schlüsseln mit OpenSSL auf der Registerkarte „Ressourcen“ in diesem Artikel.
|
| 7 |
Ziehen Sie den verschlüsselten Schlüssel aus Ihrem Dateisystem und legen Sie ihn in den Upload-Bereich der Control Hub-Oberfläche, oder klicken Sie auf Datei auswählen. |
| 8 |
Klicken Sie auf Weiter. Webex lädt Ihren Schlüssel auf das HSM hoch, wo er entschlüsselt und validiert wird. Anschließend zeigt Ihnen Control Hub die ID Ihres neuen CMK und ggf. die ID des aktuell aktiven CMK an. Wenn es sich um Ihren ersten CMK handelt, ist der derzeit aktive Schlüssel der allgemeine Webex-Standardschlüssel (den wir derzeit zum Verschlüsseln der Schlüssel Ihrer Organisation verwenden). |
| 9 |
Wählen Sie, wie Sie den Schlüssel aktivieren möchten:
|
Nächste Schritte
| 1 | |
| 2 |
Gehen Sie zu . |
| 3 |
Rufen Sie die aktive CMK auf. |
| 4 |
Klicken Sie auf |
| 5 |
Erstelle und verschlüssle einen neuen Schlüssel (falls noch nicht geschehen). Der Vorgang wird in diesem Artikel unter Erstellen und Aktivieren des Hauptschlüssels Ihres Kunden beschrieben.
|
| 6 |
Ziehen Sie den neuen Schlüssel aus Ihrem Dateisystem und legen Sie ihn in Control Hub ab. |
| 7 |
Klicken Sie auf Neuen Schlüssel aktivieren. Der neue Schlüssel, den Sie hochgeladen haben, wird in den Status „Aktiv“ versetzt. Das alte CMK bleibt im Rotationsstatus (erneuter Verschlüsselungsstatus), bis Webex die Verschlüsselung aller Inhalte mit dem neuen aktiven CMK abschließt. Nach der erneuten Verschlüsselung wechselt der Schlüssel in den Status "Entfernt". Webex löscht dann das alte CMK. |
, und wählen Sie | 1 | |
| 2 |
Gehen Sie zu . |
| 3 |
Wechseln Sie zum gelöschten Schlüssel. |
| 4 |
Klicken Sie auf |
| 5 |
Bestätigen Sie die Schlüsselwiederherstellung. Nach der Wiederherstellung zeigt Control Hub den Schlüssel im Status "Gesperrt" an, bevor er gelöscht wurde. Wenn Sie beispielsweise einen gesperrten Schlüssel löschen und den Schlüssel anschließend wiederherstellen, zeigt Control Hub den wiederhergestellten Schlüssel im Status "Gesperrt" an.
|
Inhaberschaft
Wenn Sie den Besitz Ihres AWS KMS-Schlüssels übernehmen, müssen Sie:
- Übernehmen Sie die Verantwortung für die sichere Erstellung und Sicherung Ihrer AWS KMS-Schlüssel.
- Verstehen Sie die Auswirkungen des Verlusts Ihrer AWS KMS-Schlüssel.
- Verschlüsseln Sie Ihren aktiven AMS KMS-Schlüssel mindestens einmal pro Jahr erneut.
Autorisierung
- Sie müssen autorisiert sein, Ihre Schlüssel im AWS KMS für Ihre Webex-Organisation zu erstellen und zu verwalten.
- Sie müssen im Control Hub auf Ihre Webex-Organisation zugreifen können. Sie müssen Volladministrator sein, um Ihren AWS KMS-Schlüssel zu verwalten.
| 1 |
Melden Sie sich bei AWS an und wechseln Sie zur AWS KMS-Konsole. |
| 2 |
Wählen Sie Vom Kunden verwaltete Schlüssel aus und klicken Sie dann auf Schlüssel erstellen. |
| 3 |
Erstellen Sie den Schlüssel mit den folgenden Attributen:
|
| 4 |
Klicken Sie auf Weiter. |
| 5 |
Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen. Ihr AWS KMS-Schlüssel wurde erstellt.
|
| 6 |
Gehen Sie zu Vom Kunden verwaltete Schlüssel und klicken Sie auf den Alias oder die Schlüssel-ID, um den ARN anzuzeigen. |
Nächste Schritte
Wir empfehlen Ihnen, eine temporäre Kopie des ARN aufzubewahren. Dieser ARN wird verwendet, um Ihren AWS KMS-Schlüssel in Control Hub hinzuzufügen und zu aktivieren.
| 1 |
Melden Sie sich bei AWS an und wechseln Sie zur AWS CloudShell-Konsole. |
| 2 |
Führen Sie Der KMS_CISCO_BENUTZER_ARN ist spezifisch für Ihre Organisation. Der ARN wird im Fenster „AWS-Schlüssel hinzufügen“ angezeigt, wenn Sie Ihren neuen AWK KMS-Schlüssel im Control Hub aktivieren. |
Vorbereitungen
Erstellen Sie einen AWS KMS-Schlüssel, bevor Sie ihn in Control Hub aktivieren. Lesen Sie Erstellen eines AWS KMS-Schlüssels in diesem Artikel.
Sie müssen Webex Zugriff auf den AWS KMS-Schlüssel gewähren. Weitere Informationen finden Sie in diesem Artikel unter Cisco KMS mit Zugriff auf den AWS KMS-Schlüssel autorisieren .
| 1 | |
| 2 |
Gehen Sie zu und aktivieren Sie die Option Bring Your Own Key (BYOK) . Wenn Sie BYOK deaktivieren, wird der allgemeine Webex-Standardschlüssel zum Hauptschlüssel für Ihre Organisation. |
| 3 |
Wählen Sie AWS KMS-Schlüssel hinzufügen aus und klicken Sie auf Weiter. |
| 4 |
Rufen Sie den ARN von der AWS-Konsole ab. |
| 5 |
Geben Sie den ARN in Control Hub ein, und klicken Sie auf Hinzufügen. Ihr Schlüssel-ARN wird in das Cisco KMS hochgeladen, wo der Zugriff auf den Schlüssel validiert wird. Control Hub zeigt Ihnen anschließend die Cisco KMS-Schlüssel-ID Ihres neuen AWS KMS-Schlüssels und ggf. die aktuell aktive Cisco KMS-Schlüssel-ID an. Wenn es sich um Ihren ersten AWS KMS-Schlüssel handelt, ist der derzeit aktive Schlüssel der allgemeine Webex-Standardschlüssel (den wir derzeit zum Verschlüsseln der Schlüssel Ihrer Organisation verwenden). |
| 6 |
Wählen Sie, wie Sie den Schlüssel aktivieren möchten:
|
| 1 |
Melden Sie sich bei Control Hub an und gehen Sie zu . |
| 2 |
Rufen Sie den aktiven AWS KMS-Schlüssel auf. |
| 3 |
Klicken Sie auf |
| 4 |
Geben Sie Ihren neuen AWS KMS-Schlüssel und den neuen ARN ein, und klicken Sie auf Hinzufügen. Der Vorgang wird in diesem Artikel unter AMS KMS-Schlüssel hinzufügen und aktivieren beschrieben.
|
| 5 |
Klicken Sie auf Aktivieren. Der neue AWS KMS-Schlüssel, den Sie hochgeladen haben, wird in den Status „Aktiv“ versetzt. Der alte AWS KMS-Schlüssel bleibt im Rotationsstatus, bis Webex die Verschlüsselung des gesamten Inhalts mit dem neuen aktiven AWS KMS-Schlüssel abschließt. Nach der erneuten Verschlüsselung verschwindet der alte AWS KMS-Schlüssel automatisch aus Control Hub. |
| 1 |
Melden Sie sich bei Control Hub an und gehen Sie zu . |
| 2 |
Klicken Sie auf Weiteren Schlüssel hinzufügen. |
| 3 |
Geben Sie Ihren neuen AWS KMS-Schlüssel ein und klicken Sie auf Hinzufügen. Control Hub zeigt Ihnen die Cisco KMS-Schlüssel-ID Ihres neuen AWS KMS-Schlüssels und die ID der derzeit aktiven Cisco KMS-Schlüssel-ID an. Der Vorgang wird in diesem Artikel unter AMS KMS-Schlüssel hinzufügen und aktivieren beschrieben. |
| 4 |
Klicken Sie auf Aktivieren. Der neue AWS KMS-Schlüssel, den Sie hochgeladen haben, wird in den Status „Aktiv“ versetzt. Der alte AWS KMS-Schlüssel bleibt im Rotationsstatus, bis Webex die Verschlüsselung des gesamten Inhalts mit dem neuen aktiven AWS KMS-Schlüssel abschließt. Nach der erneuten Verschlüsselung verschwindet der alte AWS KMS-Schlüssel automatisch aus Control Hub. |
| 1 |
Melden Sie sich bei Control Hub an und gehen Sie zu . |
| 2 |
Wechsle zum aktuell aktiven AWS KMS Schlüssel. |
| 3 |
Klicken Sie auf |
| 4 |
Bestätigen Sie die Schlüsselsperrung. Es kann bis zu 10 Minuten dauern, bis Ihr Schlüssel vollständig gesperrt ist. Der AWS KMS-Schlüssel wechselt in den Status "lokal gesperrt".
|
Wenn der Kundenadministrator den Schlüssel auf der AWS KMS-Konsole sperrt, wird der AWS KMS-Schlüssel in Control Hub im Status „Von Amazon gesperrt“ angezeigt.
| 1 |
Melden Sie sich bei Control Hub an und gehen Sie zu . |
| 2 |
Navigieren Sie zum gesperrten AWS KMS-Schlüssel. |
| 3 |
Klicken Sie auf |
| 4 |
Bestätigen Sie die Schlüssellöschung. Nach dem Löschen können Sie den Schlüssel innerhalb von 30 Tagen wiederherstellen. |
Wir empfehlen, den AWS KMS-Schlüssel zuerst aus Control Hub zu löschen, bevor Sie den CMK von der AWS-Konsole löschen. Wenn Sie Ihr CMK vor dem Löschen des AWS KMS-Schlüssels in Control Hub von der AWS-Konsole löschen, können Probleme auftreten.
Stellen Sie sicher, dass der AWS KMS-Schlüssel in Control Hub nicht mehr angezeigt wird, bevor Sie Ihr CMK von der AWS-Konsole löschen.
| 1 |
Melden Sie sich bei Control Hub an und gehen Sie zu . |
| 2 |
Rufen Sie den gelöschten AWS KMS-Schlüssel auf. |
| 3 |
Klicken Sie auf |
| 4 |
Bestätigen Sie die Schlüsselwiederherstellung. Nach der Wiederherstellung zeigt Control Hub den Schlüssel im Status "Gesperrt" an. |
Wenn mit dem AWS KMS-Schlüssel Probleme auftreten, verwenden Sie die folgenden Informationen zur Fehlerbehebung.
-
AWS KMS-Schlüssel-ARN. Beispiel:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
AWS KMS-Schlüsselstatus. Der AWS KMS-Schlüssel ist beispielsweise deaktiviert.
Dieses Beispiel verwendet Version 3.0 der OpenSSL-Befehlszeilen-Tools. Weitere Informationen zu diesen Tools finden Sie unter OpenSSL .
| 1 | |
| 2 |
Gehen Sie zu . |
| 3 |
Klicken Sie auf Öffentlichen Schlüssel herunterladen. Sie erhalten den öffentlichen Webex-HSM-Schlüssel in einer PEM-Datei auf Ihrem lokalen System. |
| 4 |
Erstellen Sie einen 256-Bit-Schlüssel (32 Byte): Das Beispiel verwendet den Dateinamen main_key.bin für Ihren unverschlüsselten neuen Schlüssel. Alternativ können Sie einen zufälligen 32-Byte-Wert mit Hex Dump, Python oder Online-Generatoren generieren. Sie können auch Ihren AWS KMS-Schlüssel erstellen und verwalten. |
| 5 |
Verwenden Sie den öffentlichen Webex HSM-Schlüssel, um Ihren neuen Schlüssel zu verschlüsseln: Im Beispiel wird der Dateiname main_key_encrypted.bin für den verschlüsselten Ausgabeschlüssel und der Dateiname path/to/public.pem für den öffentlichen Webex-Schlüssel verwendet. Der verschlüsselte Schlüssel kann in Control Hub hochgeladen werden. |
