Administre su propia clave principal de cliente

Acerca de las claves principales del cliente

Como parte de nuestro compromiso con la seguridad de un extremo a otro, Webex posee una clave principal en nombre de cada organización. La llamamos clave principal porque no cifra el contenido directamente, pero se utiliza para cifrar las otras claves de su organización que cifran el contenido. El nivel básico de la jerarquía de claves se denomina clave de contenido (CK) y los niveles intermedios de las claves se denominan claves de cifrado de claves (KEK).

Reconocemos que algunas organizaciones prefieren administrar su propia seguridad, por lo que le ofrecemos la opción de administrar su propia clave principal de cliente (CMK). Esto significa que usted asume la responsabilidad de crear y girar (volver a cifrar) la clave principal que Webex utiliza para cifrar sus claves de cifrado de contenido.

En el futuro, una clave se refiere a la CMK a menos que se especifique lo contrario.

Como funciona

Webex mantiene su CMK en un módulo de seguridad de hardware (HSM) para que los servicios de Webex no tengan acceso al valor de la CMK.
Control Hub muestra su CMK actualmente activa o revocada y cualquier CMK pendiente que esté almacenada en el HSM. Cuando necesita girar (volver a cifrar) el CMK, genera su nuevo CMK y lo cifra con la clave pública del HSM para que solo el HSM pueda descifrarlo y almacenarlo.
Luego, carga y activa la nueva CMK en Control Hub. Webex comienza a utilizar inmediatamente la nueva CMK para cifrar sus claves de contenido. Webex mantiene la CMK anterior, pero solo hasta que esté seguro de que las claves de cifrado de contenido están protegidas por la nueva CMK.

No reciframos retroactivamente todo el contenido existente. Una vez que activa su CMK, todo el contenido nuevo (espacios y reuniones) se vuelve a cifrar y proteger.

Acerca de las claves de AWS KMS

Reconocemos que algunas organizaciones prefieren administrar su propia clave fuera de Webex. Por eso le damos la opción de administrar su propio CMK en el Servicio de administración de claves (KMS) de Amazon Web Services (AWS). Esto implica que usted es responsable de administrar sus claves en los KMS de AWS. Usted autoriza a Webex a cifrar y descifrar con su clave de AWS KMS a través de la consola de AWS. Usted proporciona a Webex su ID de clave KMS de AWS en lugar de su CMK. Esto significa que usted asume la responsabilidad de crear y girar (volver a cifrar) la clave AWS KMS que Webex utiliza para cifrar sus claves de cifrado de contenido en la nube.

Como funciona

Usted crea una clave con AWS. El KMS de AWS se utiliza para administrar la clave y la almacena en un módulo de seguridad de hardware (HSM).
Usted proporciona acceso a Webex para utilizar la clave de AWS KMS a través de la consola de AWS.

Esto significa que, en lugar de cargar su CMK en Control Hub, proporciona a Webex acceso a la clave AWS KMS. La clave de AWS KMS no sale de sus AWS KMS y los servicios de Webex no tienen acceso al material de la clave de AWS KMS.

Control Hub muestra su clave AWS KMS actualmente activa o revocada y cualquier clave AWS KMS pendiente que se almacena en los AWS KMS. Cuando necesite rotar la clave AWS KMS, generará la nueva clave AWS KMS con la consola de AWS KMS.
A continuación, agregue y active la nueva clave KMS de AWS en Control Hub, proporcionándole el nombre de recurso de Amazon (ARN) de la nueva clave KMS de AWS. Webex comienza inmediatamente a utilizar la nueva clave de AWS KMS para cifrar las claves de contenido. Webex ya no requiere la antigua clave de AWS KMS. La clave antigua de AWS KMS desaparecerá de Control Hub después de que las claves de cifrado de contenido se roten y protejan con la nueva clave de AWS KMS. Webex no elimina la clave AWS KMS de los AWS KMS. El administrador del cliente puede eliminar la clave de los KMS de AWS.

Estados clave y ciclo de vida

Ciclo de vida clave

Definiciones de estados clave

Pendiente

Una clave en este estado se almacena en el HSM, pero aún no se utiliza para el cifrado. Webex no utiliza esta CMK para el cifrado.

Solo una clave puede estar en este estado.

Activo

Webex utiliza actualmente esta CMK para cifrar otras claves para su organización.

Solo una clave puede estar en este estado.

Rotacion

Webex está utilizando temporalmente esta CMK. Webex lo necesita para descifrar sus datos y claves que anteriormente se cifraron con esta clave. Esta clave se retira cuando se completa la rotación (volver a cifrar).

Varias claves pueden estar en este estado si se activa una nueva clave antes de que se complete la rotación.

Jubilado

Webex no utiliza esta CMK. Esta clave ya no se utiliza para el cifrado. Se establece un tiempo de vida clave, después del cual esta clave se elimina del HSM.

Revocado

Webex no utiliza esta CMK. Incluso si hay datos y claves que se cifraron con esta clave, Webex no puede utilizarla para descifrar los datos y las claves.

Solo necesita revocar una clave activa si sospecha que está comprometida. Esta es una decisión seria porque evita que muchas operaciones se comporten correctamente. Por ejemplo, no podrá crear nuevos espacios y no podrá descifrar ningún contenido en el cliente de Webex .
Solo una clave puede estar en este estado. Debe reactivar esta clave para rotar (volver a cifrar) una nueva clave.
Esta CMK se puede eliminar, pero no es necesario que la elimine. Es posible que desee conservarla para su descifrado/recifrado después de resolver la presunta violación de seguridad.

Eliminado

Webex no utiliza esta CMK. El comportamiento en este estado es el mismo que en el estado Revocado, excepto que se establece un tiempo de vida de la clave, después de lo cual esta clave se elimina del HSM.

Si una CMK eliminada avanza al estado Eliminada, debe recuperar la clave original para restaurar la funcionalidad en la organización.

Le recomendamos que mantenga una copia de seguridad de su clave original; de lo contrario, su organización ya no será funcional.

Eliminado

Este es un estado lógico. Webex no tiene esta CMK almacenada en el HSM. No se muestra en Control Hub.

Requisitos

Propiedad

Al tomar posesión de su CMK, debe:

Asuma la responsabilidad de crear y hacer copias de seguridad de sus claves de forma segura
Comprenda las implicaciones de perder sus llaves
Vuelva a cifrar su CMK activo al menos una vez al año como mejor práctica

Creación de claves

Debe crear su propia CMK utilizando estos parámetros. Tu clave debe ser:

256 bits (32 bytes) de longitud
Cifrado con el esquema RSA-OAEP
Cifrado con la clave pública de HSM en la nube de Webex

Su software de generación de claves debe ser capaz de:

Función hash SHA-256
Función de generación de máscara MGF1
Acolchado PKCS # 1 OAEP

Consulte Ejemplo: Cree y cifre claves con OpenSSL en la pestaña Recursos de este artículo.

Autorización

Debe tener acceso a su organización de Webex en Control Hub. Debes ser un administrador completo para administrar su CMK.

Cree y active la clave principal de su cliente

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves . Para habilitar BYOK, alternar Traiga su propia clave (BYOK) en. Si deshabilita BYOK, el Clave predeterminada común de Webex se convierte en la clave principal de su organización.
3	Seleccione Cargar una clave personalizada y haga clic en Siguiente.
4	Haga clic en Descargar clave pública . Guarde la clave pública de Webex HSM en un archivo .pem en su sistema local.
5	Cree una clave aleatoria criptográficamente segura de 256 bits (32 bytes) utilizando su software de administración de claves.
6	Utilice la clave pública de Webex HSM para cifrar su nueva clave. Los parámetros de cifrado necesarios son: Esquema RSA-OAEP Función hash SHA-256 Función de generación de máscara MGF1 Acolchado PKCS # 1 OAEP Consulte Ejemplo: Cree y cifre claves con OpenSSL en la pestaña Recursos de este artículo.
7	Arrastre la clave cifrada desde su sistema de archivos y suéltela en el área de carga de la interfaz de Control Hub, o haga clic en Elija un archivo .
8	Haga clic en Siguiente. Webex carga su clave en el HSM, donde se descifra y valida. Luego, Control Hub le muestra el Identificador de su nueva CMK y el Identificador de la CMK actualmente activa, si corresponde. Si esta es su primera CMK, la clave actualmente activa es la Clave predeterminada común de Webex (el que usamos actualmente para cifrar las claves de su organización).
9	Elija cómo desea activar su clave: Activar nueva clave : La nueva CMK pasa inmediatamente al estado Activo. El CMK previamente activo pasa a la rotación (estado de recifrado), hasta que todo su contenido esté protegido por el nuevo CMK, después de lo cual Webex elimina el CMK previamente activo. Activar más tarde : La nueva CMK pasa al estado Pendiente. Webex mantiene esta CMK en el HSM, pero aún no la usa. Webex continúa utilizando la CMK actualmente activa para cifrar las claves de su organización.

Qué hacer a continuación

No reciframos retroactivamente todo el contenido existente. Una vez que active su CMK, todo el contenido nuevo (espacios y reuniones) se recifrará y protegerá.

Gira tu llave

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves .
3	Vaya al CMK activo.
4	Haga clic en y seleccione Rotar.
5	Cree y cifre una nueva clave (si aún no lo ha hecho). El proceso se describe en Cree y active la clave principal de su cliente en este artículo.
6	Arrastre la nueva clave desde su sistema de archivos y suéltela en Control Hub.
7	Haga clic en Activar nueva clave . La nueva clave que cargó pasa al estado Activo. El antiguo CMK permanece en rotación (estado de recifrado) hasta que Webex termina de cifrar todo su contenido con el nuevo CMK activo. Después de volver a cifrar, la clave pasa al estado Retirado. Luego, Webex elimina la CMK anterior.

Revocar su clave

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves .
3	Vaya a la clave activa.
4	Haga clic en y seleccione Revocar.
5	Confirme la revocación de la clave. Puede revocar su clave por completo hasta 10 minutos.

Reactivar su clave revocada

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves .
3	Vaya a la clave actualmente revocada.
4	Haga clic en y seleccione Activar.
5	Confirme la activación de la clave. La clave previamente revocada pasa al estado Activo.

Eliminar su clave revocada

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves .
3	Vaya a la clave revocada.
4	Haga clic en y seleccione Eliminar.
5	Confirme la eliminación de la clave. Una vez eliminada, tiene la opción de restaurar la clave en un plazo de 30 días.

Restaurar la clave revocada

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves .
3	Vaya a la tecla eliminada.
4	Haga clic en y seleccione Cancelar eliminación.
5	Confirme la restauración de la clave. Una vez restaurada, Control Hub le muestra la clave en el estado revocado antes de eliminarla. Por ejemplo, si elimina una clave revocada y luego restaura la clave, Control Hub muestra la clave restaurada en el estado Revocada.

Requisitos

Propiedad

Al asumir la propiedad de su clave AWS KMS, usted debe:

Asuma la responsabilidad de la creación segura y la copia de seguridad de sus claves AWS KMS.
Comprenda las implicaciones de perder las claves de AWS KMS.
Vuelva a cifrar su clave AMS KMS activa al menos una vez al año como mejor práctica.

Autorización

Debe estar autorizado para crear y administrar sus claves en AWS KMS para su organización de Webex.
Debe tener acceso a su organización de Webex en Control Hub. Debe ser un administrador completo para administrar la clave AWS KMS.

Crear una clave de AWS KMS

1	Inicie sesión en AWS y vaya a la consola de AWS KMS.
2	Seleccione Claves administradas por el cliente y, a continuación, haga clic en Crear clave.
3	Cree la clave con los siguientes atributos: Tipo de clave: seleccione Simétrico. Uso de claves: seleccione Cifrar y descifrar. Etiquetas: introduzca el alias, la descripción y las etiquetas. Administradores clave: seleccione los usuarios y funciones de administrador clave de su organización. Eliminación de claves: marque Permitir que los administradores de claves eliminen esta clave. Usuarios clave: seleccione los usuarios clave y las funciones de su organización.
4	Haga clic en Siguiente.
5	Revise la configuración y haga clic en Finalizar. Se ha creado su clave AWS KMS.
6	Vaya a Claves administradas por el cliente y haga clic en el ID de alias o clave para ver el ARN.

Qué hacer a continuación

Le recomendamos que conserve una copia temporal del ARN. Este ARN se utiliza para agregar y activar su clave AWS KMS en Control Hub.

Autorizar Cisco KMS con acceso a la clave KMS de AWS

Inicie sesión en AWS y vaya a la consola de AWS CloudShell.

Ejecutar create-grant para autorizar Webex de la siguiente manera:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Por ejemplo:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

El KMS_CISCO_USER_ARN es específico de su organización. El ARN se muestra en la ventana Agregar clave AWS al activar la nueva clave AWK KMS en Control Hub.

Agregar y activar la clave AWS KMS

Antes de comenzar

Debe crear una clave de AWS KMS antes de activarla en Control Hub. Consulte Crear una clave AWS KMS en este artículo.

Debe proporcionar a Webex acceso a la clave AWS KMS. Consulte Autorizar Cisco KMS con acceso a la clave AWS KMS en este artículo.

1	Inicie sesión en el Control Hub.
2	Vaya a Configuración de la organización > Administración de claves y active Traiga su propia clave (BYOK). Si deshabilita BYOK, el Clave predeterminada común de Webex se convierte en la clave principal de su organización.
3	Seleccione Agregar clave AWS KMS y haga clic en Siguiente.
4	Obtenga el ARN desde la consola de AWS.
5	Introduzca el ARN en Control Hub y haga clic en Agregar. Su ARN de clave se carga en el KMS de Cisco, donde se valida el acceso a la clave. A continuación, Control Hub le muestra el ID de clave de Cisco KMS de su nueva clave de AWS y el ID de clave de Cisco KMS actualmente activo, si lo hubiera. Si esta es su primera clave de AWS KMS, la clave actualmente activa es la clave predeterminada común de Webex (la que utilizamos actualmente para cifrar las claves de su organización).
6	Elija cómo desea activar su clave: Activar: La nueva clave KMS de AWS pasa inmediatamente al estado activo. Activar más tarde : La nueva clave de AWS KMS pasa al estado Pendiente. Webex conserva este ARN de clave de AWS KMS en Cisco KMS, pero aún no lo utiliza. Webex continúa utilizando la clave de AWS KMS actualmente activa para cifrar las claves de su organización.

Gire la clave AWS KMS

1	Inicie sesión en Control Hub y vaya a Configuración de la organización > Administración de claves.
2	Vaya a la clave activa de AWS KMS.
3	Haga clic en y seleccione Rotar.
4	Introduzca la nueva clave AWS KMS y el nuevo ARN y haga clic en Agregar. El proceso se describe en Agregar y activar la clave AMS KMS en este artículo.
5	Haga clic en Activar. La nueva clave AWS KMS que cargó pasa al estado activo. La antigua clave de AWS KMS permanece en estado Rotatorio hasta que Webex termine de cifrar todo su contenido con la nueva clave de AWS KMS activa. Después de volver a cifrar, la clave antigua de AWS KMS desaparece automáticamente de Control Hub.

Gire para agregar otra clave AWS KMS (opcional)

1	Inicie sesión en Control Hub y vaya a Configuración de la organización > Administración de claves.
2	Haga clic en Agregar otra clave.
3	Introduzca la nueva clave AWS KMS y haga clic en Agregar. Control Hub le muestra el ID de clave de Cisco KMS de su nueva clave de AWS, y el ID del ID de clave de Cisco KMS actualmente activo. El proceso se describe en Agregar y activar la clave AMS KMS en este artículo.
4	Haga clic en Activar. La nueva clave AWS KMS que cargó pasa al estado activo. La antigua clave de AWS KMS permanece en estado Rotatorio hasta que Webex termine de cifrar todo su contenido con la nueva clave de AWS KMS activa. Después de volver a cifrar, la clave antigua de AWS KMS desaparece automáticamente de Control Hub.

Revocar su clave AWS KMS

1	Inicie sesión en Control Hub y vaya a Configuración de la organización > Administración de claves.
2	Vaya a la clave KMS de AWS actualmente activa.
3	Haga clic en y seleccione Revocar localmente.
4	Confirme la revocación de la clave. Puede revocar su clave por completo hasta 10 minutos. La clave KMS de AWS pasa al estado revocado localmente.

Si el administrador de su cliente revoca la clave de la consola de AWS KMS, la clave de AWS KMS se muestra en el estado Revocado por Amazon en Control Hub.

Eliminar la clave AWS KMS

1	Inicie sesión en Control Hub y vaya a Configuración de la organización > Administración de claves.
2	Vaya a la clave AWS KMS revocada.
3	Haga clic en y seleccione Eliminar.
4	Confirme la eliminación de la clave. Una vez eliminada, puede recuperar la clave en un plazo de 30 días.

Le recomendamos que elimine la clave AWS KMS de Control Hub primero antes de eliminar su CMK de la consola de AWS. Si elimina su CMK de la consola de AWS antes de eliminar la clave AWS KMS en Control Hub, es posible que tenga problemas.

Asegúrese de que la clave KMS de AWS ya no sea visible en Control Hub antes de eliminar su CMK de la consola de AWS.

Restaurar la clave AWS KMS

1	Inicie sesión en Control Hub y vaya a Configuración de la organización > Administración de claves.
2	Vaya a la clave AWS KMS eliminada.
3	Haga clic en y seleccione Cancelar eliminación.
4	Confirme la restauración de la clave. Una vez restaurado, Control Hub le muestra la clave en el estado Revocado.

Solucionar problemas de la clave AWS KMS

Si tiene problemas con la clave AWS KMS, utilice la siguiente información para solucionarla.

ARN de clave de AWS KMS. Por ejemplo, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Subvenciones en la clave KMS de AWS.
Estado de clave de AWS KMS. Por ejemplo, la clave AWS KMS está deshabilitada.

Ejemplo: Cree y cifre claves con OpenSSL

Este ejemplo utiliza la versión 3.0 de las herramientas de línea de comandos de OpenSSL. Ver OpenSSL para obtener más información sobre estas herramientas.

1	Inicie sesión en el Control Hub.
2	Ir a Configuración de la organización > Gestión de claves .
3	Haga clic en Descargar clave pública . Obtiene la clave pública de Webex HSM en un archivo .pem en su sistema local.
4	Cree una clave de 256 bits (32 bytes): `openssl rand 32 -out main_key.bin` El ejemplo usa el nombre de archivomain_key .bin para su nueva clave sin cifrar.
5	Utilice la clave pública de Webex HSM para cifrar su nueva clave: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` El ejemplo usa el nombre de archivomain_key_encrypted .bin para la clave de salida cifrada y el nombre del archivo ruta / a / public.pem para la clave pública de Webex . La clave cifrada está lista para que la cargue en Control Hub.