Gracias por sus comentarios.
Administre su propia clave principal de cliente
¿Comentarios?
Como parte de nuestro compromiso con la seguridad de extremo a extremo, Webex posee una clave principal en nombre de cada organización. La llamamos clave principal porque no cifra el contenido directamente, pero se utiliza para cifrar las otras claves de su organización que cifran el contenido. El nivel base de la jerarquía de claves se denomina clave de contenido (CK) y los niveles intermedios de las claves se denominan claves de cifrado de claves (KEK).
Reconocemos que algunas organizaciones prefieren administrar su propia seguridad, por lo que le ofrecemos la opción de administrar su propia clave principal de cliente (CMK). Esto significa que usted asume la responsabilidad de crear y girar (volver a cifrar) la clave principal que Webex utiliza para cifrar sus claves de cifrado de contenido.
En adelante, una clave se refiere al CMK, a menos que se especifique lo contrario.
Cómo funciona
-
Webex mantiene su CMK en un módulo de seguridad de hardware (HSM) para que los servicios de Webex no tengan acceso al valor de CMK.
-
Control Hub muestra su CMK actualmente activo o revocado y cualquier CMK pendiente almacenado en el HSM. Cuando necesita rotar (volver a cifrar) el CMK, genera el nuevo CMK y lo cifra con la clave pública del HSM, de modo que solo el HSM pueda descifrar y almacenarlo.
-
Luego, cargue y active el nuevo CMK en Control Hub. Webex comienza inmediatamente a utilizar la nueva CMK para cifrar sus claves de contenido. Webex mantiene la antigua CMK, pero solo hasta que esté seguro de que las claves de cifrado de contenido están protegidas por la nueva CMK.
Reconocemos que algunas organizaciones prefieren administrar su propia clave fuera de Webex. Por eso le ofrecemos la opción de administrar su propio CMK en el Servicio de administración de claves (KMS) de Amazon Web Services (AWS). Esto implica que usted es responsable de administrar sus claves en el KMS de AWS. Usted autoriza a Webex a cifrar y descifrar con su clave de KMS de AWS a través de la consola de AWS. Proporciona a Webex su ID de clave de KMS de AWS en lugar de su CMK. Esto significa que usted asume la responsabilidad de crear y girar (volver a cifrar) la clave del KMS de AWS que Webex utiliza para cifrar sus claves de cifrado de contenido en la nube.
Cómo funciona
-
Se crea una clave con AWS. El KMS de AWS se utiliza para administrar su clave y la almacena en un módulo de seguridad de hardware (HSM).
-
Proporciona a Webex acceso para utilizar la clave del KMS de AWS a través de la consola de AWS.
Esto significa que, en lugar de cargar su CMK en Control Hub, usted proporciona a Webex acceso a la clave del KMS de AWS. La clave del KMS de AWS no abandona su KMS de AWS y los servicios de Webex no tienen acceso al material de la clave del KMS de AWS.
Control Hub muestra su clave del KMS de AWS actualmente activa o revocada y cualquier clave del KMS de AWS pendiente almacenada en el KMS de AWS. Cuando necesite rotar la clave del KMS de AWS, genera su nueva clave del KMS de AWS con la consola del KMS de AWS.
-
Luego, agregue y active la nueva clave del KMS de AWS en Control Hub, proporcionándole el Nombre de recurso de Amazon (ARN) de la nueva clave del KMS de AWS. Webex comienza inmediatamente a utilizar la nueva clave del KMS de AWS para cifrar sus claves de contenido. Webex ya no requiere la clave de KMS de AWS antigua. La antigua clave del KMS de AWS desaparecerá de Control Hub después de que las claves de cifrado de contenido se roten y garanticen con la nueva clave del KMS de AWS. Webex no elimina la clave del KMS de AWS de este. El administrador de su cliente puede eliminar la clave del KMS de AWS.
Ciclo de vida clave
Definiciones de estado clave
- Pendiente
-
Una clave en este estado se almacena en el HSM, pero todavía no se utiliza para el cifrado. Webex no utiliza este CMK para el cifrado.
Solo puede haber una clave en este estado. - Activo
-
Actualmente, Webex está utilizando esta CMK para cifrar otras claves de su organización.
Solo puede haber una clave en este estado. - Rotación
-
Webex está utilizando temporalmente esta CMK. Webex la necesita para descifrar sus datos y claves que anteriormente estaban cifradas con esta clave. Esta clave se retira cuando se completa la rotación (volver a cifrar).
Varias teclas pueden estar en este estado si se activa una nueva clave antes de que se complete la rotación. - Retirada
-
Webex no está utilizando este CMK. Esta clave ya no se utiliza para el cifrado. Se establece un tiempo de vida de clave, después del cual se elimina esta clave del HSM.
- Revocada
-
Webex no está utilizando este CMK. Incluso si hay datos y claves que se cifraron con esta clave, Webex no puede utilizarla para descifrar los datos y las claves.
- Solo tiene que revocar una clave activa si sospecha que está comprometida. Esta es una decisión seria porque impide que muchas operaciones se comporten correctamente. Por ejemplo: no podrá crear nuevos espacios ni descifrar ningún contenido en el cliente de Webex.
- Solo puede haber una clave en este estado. Debe reactivar esta clave para rotar (volver a cifrar) una nueva clave.
- Este CMK se puede eliminar, pero no es necesario eliminarlo. Es posible que desee guardarlo para descifrado/volver a cifrar después de resolver la sospecha de violación de seguridad.
- Eliminado
-
Webex no está utilizando este CMK. El comportamiento en este estado es el mismo que el estado Revocado, excepto que se establece un tiempo de vida de clave, después del cual se elimina esta clave del HSM.
- Si un CMK eliminado progresa al estado Eliminado, debe recuperar la clave original para restaurar la funcionalidad de la organización.
- Le recomendamos que conserve una copia de seguridad de su clave original; de lo contrario, su organización dejará de funcionar.
- Eliminado
-
Este es un estado lógico. Webex no tiene este CMK almacenado en el HSM. No se muestra en Control Hub.
Titularidad
Al hacerse cargo de su CMK, usted debe:
- Asuma la responsabilidad de la creación segura y la copia de seguridad de sus claves
- Comprender las implicaciones de perder las claves
- Volver a cifrar su CMK activo al menos una vez al año como mejor práctica
Creación de claves
Debe crear su propia CMK con estos parámetros. Su clave debe ser:
- 256 bits (32 bytes) de longitud
- Cifrado con el esquema RSA-OAEP
- Cifrado con la clave pública de HSM en la nube de Webex
El software de generación de claves debe ser capaz de:
- Función hash SHA-256
- Función de generación de máscara MGF1
- Relleno PKCS#1 OAEP
Consulte Ejemplo: Cree y cifre claves con OpenSSL en la ficha Recursos de este artículo.
Autorización
Debe tener acceso a su organización de Webex en Control Hub. Debe ser un administrador total para administrar su CMK.
| 1 | |
| 2 |
Vaya a . Para habilitar BYOK, active la opción Traiga su propia clave (BYOK) . Si deshabilita la opción Traiga su propia clave (BYOK), la clave común predeterminada de Webex se convierte en la clave principal para su organización. |
| 3 |
Seleccione Cargar una clave personalizada y haga clic en Siguiente. |
| 4 |
Haga clic en Descargar clave pública. Guarde la clave pública de Webex HSM en un archivo .pem en su sistema local. |
| 5 |
Cree una clave aleatoria de 256 bits (32 bytes) criptográficamente segura mediante el software de administración de claves. |
| 6 |
Utilice la clave pública de Webex HSM para cifrar su nueva clave. Los parámetros de cifrado necesarios son:
Consulte Ejemplo: Cree y cifre claves con OpenSSL en la ficha Recursos de este artículo.
|
| 7 |
Arrastre la clave cifrada desde su sistema de archivos y suéltela en el área de carga de la interfaz de Control Hub o haga clic en Elegir un archivo. |
| 8 |
Haga clic en Siguiente. Webex carga su clave en el HSM, donde se descifra y valida. A continuación, Control Hub le muestra el ID de su nuevo CMK y el ID del CMK actualmente activo, si lo hubiera. Si este es su primer CMK, la clave activa actualmente es la clave común predeterminada de Webex (la que utilizamos actualmente para cifrar las claves de su organización). |
| 9 |
Elija cómo desea activar su clave:
|
Qué hacer a continuación
| 1 | |
| 2 |
Vaya a . |
| 3 |
Vaya al CMK activo. |
| 4 |
Haga clic en |
| 5 |
Cree y cifre una nueva clave (si aún no lo ha hecho). El proceso se describe en Crear y activar la clave principal de su cliente en este artículo.
|
| 6 |
Arrastre la nueva clave desde su sistema de archivos y suéltela en Control Hub. |
| 7 |
Haga clic en Activar nueva clave. La nueva clave que cargó pasa al estado activo. El CMK antiguo permanece en rotación (estado de recifrado) hasta que Webex termine de cifrar todo su contenido con el nuevo CMK activo. Después de volver a cifrar, la clave pasa al estado Retirada. Luego, Webex elimina el CMK antiguo. |
y seleccione | 1 | |
| 2 |
Vaya a . |
| 3 |
Vaya a la clave eliminada. |
| 4 |
Haga clic en |
| 5 |
Confirme la restauración de la clave. Una vez restaurada, Control Hub le muestra la clave en estado revocado antes de eliminarla. Por ejemplo, si elimina una clave revocada y luego la restaura, Control Hub muestra la clave restaurada en el estado Revocado.
|
Titularidad
Al hacerse cargo de su clave de KMS de AWS, usted debe:
- Asuma la responsabilidad de la creación segura y la copia de seguridad de sus claves del KMS de AWS.
- Comprenda las implicaciones de perder sus claves de KMS de AWS.
- Como mejor práctica, vuelva a cifrar su clave de KMS de AMS activa al menos una vez al año.
Autorización
- Debe estar autorizado para crear y administrar sus claves en el KMS de AWS para su organización de Webex.
- Debe tener acceso a su organización de Webex en Control Hub. Debe ser un administrador completo para administrar su clave de KMS de AWS.
| 1 |
Inicie sesión en AWS y vaya a la consola del KMS de AWS. |
| 2 |
Seleccione Claves administradas por el cliente y, a continuación, haga clic en Crear clave. |
| 3 |
Cree la clave con los siguientes atributos:
|
| 4 |
Haga clic en Siguiente. |
| 5 |
Revise su configuración y haga clic en Finalizar. Se ha creado su clave de KMS de AWS.
|
| 6 |
Diríjase a Claves administradas por el cliente y haga clic en el alias o el ID de la clave para ver el ARN. |
Qué hacer a continuación
Le recomendamos que conserve una copia temporal del ARN. Este ARN se utiliza para agregar y activar su clave del KMS de AWS en Control Hub.
| 1 |
Inicie sesión en AWS y vaya a la consola de AWS CloudShell. |
| 2 |
Ejecute El KMS_CISCO_USER_ARN es específico de su organización. El ARN se muestra en la ventana Agregar su clave de AWS al activar su nueva clave del KMS de AWK en Control Hub. |
Antes de comenzar
Debe crear una clave del KMS de AWS antes de activarla en Control Hub. Consulte Crear una clave del KMS de AWS en este artículo.
Debe proporcionar a Webex acceso a la clave del KMS de AWS. Consulte Autorizar el KMS de Cisco con acceso a la clave del KMS de AWS en este artículo.
| 1 | |
| 2 |
Vaya a y active la opción Traiga su propia clave (BYOK) . Si deshabilita la opción Traiga su propia clave (BYOK), la clave común predeterminada de Webex se convierte en la clave principal para su organización. |
| 3 |
Seleccione Agregar clave del KMS de AWS y haga clic en Siguiente. |
| 4 |
Obtenga el ARN desde la consola de AWS. |
| 5 |
Introduzca el ARN en Control Hub y haga clic en Agregar. El ARN de la clave se carga en el KMS de Cisco, donde se valida el acceso a la clave. A continuación, Control Hub muestra el ID de la clave del KMS de Cisco de su nueva clave del KMS de AWS, y el ID de la clave del KMS de Cisco actualmente activo, si lo hay. Si esta es su primera clave del KMS de AWS, la clave activa actualmente es la clave común predeterminada de Webex (la que utilizamos actualmente para cifrar las claves de su organización). |
| 6 |
Elija cómo desea activar su clave:
|
| 1 |
Inicie sesión en Control Hub y vaya a . |
| 2 |
Vaya a la clave activa del KMS de AWS. |
| 3 |
Haga clic en |
| 4 |
Introduzca su nueva clave del KMS de AWS y el nuevo ARN y haga clic en Agregar. El proceso se describe en Agregar y activar su clave de KMS de AMS en este artículo.
|
| 5 |
Haga clic en Activar. La nueva clave del KMS de AWS que cargó pasa al estado activo. La antigua clave del KMS de AWS permanece en estado de rotación hasta que Webex termine de cifrar todo su contenido con la nueva clave del KMS de AWS activa. Después de volver a cifrar, la antigua clave del KMS de AWS desaparece automáticamente de Control Hub. |
| 1 |
Inicie sesión en Control Hub y vaya a . |
| 2 |
Haga clic en Agregar otra clave. |
| 3 |
Introduzca su nueva clave de KMS de AWS y haga clic en Agregar. Control Hub muestra el ID de la clave del KMS de Cisco de su nueva clave del KMS de AWS y el ID de la clave del KMS de Cisco actualmente activo. El proceso se describe en Agregar y activar su clave de KMS de AMS en este artículo. |
| 4 |
Haga clic en Activar. La nueva clave del KMS de AWS que cargó pasa al estado activo. La antigua clave del KMS de AWS permanece en estado de rotación hasta que Webex termine de cifrar todo su contenido con la nueva clave del KMS de AWS activa. Después de volver a cifrar, la antigua clave del KMS de AWS desaparece automáticamente de Control Hub. |
| 1 |
Inicie sesión en Control Hub y vaya a . |
| 2 |
Vaya a la clave del KMS de AWS actualmente activa. |
| 3 |
Haga clic en |
| 4 |
Confirme la revocación de la clave. La revocación completa de la clave puede demorar hasta 10 minutos. La clave del KMS de AWS entra en el estado Localmente revocado.
|
Si el administrador de su cliente revoca la clave de la consola del KMS de AWS, la clave del KMS de AWS se muestra en el estado Revocado por Amazon en Control Hub.
| 1 |
Inicie sesión en Control Hub y vaya a . |
| 2 |
Vaya a la clave del KMS de AWS revocada. |
| 3 |
Haga clic en |
| 4 |
Confirme la eliminación de la clave. Una vez eliminada, puede recuperar la clave en un plazo de 30 días. |
Le recomendamos que elimine primero la clave del KMS de AWS de Control Hub antes de eliminar su CMK de la consola de AWS. Si elimina su CMK de la consola de AWS antes de eliminar la clave del KMS de AWS en Control Hub, es posible que tenga problemas.
Asegúrese de que la clave del KMS de AWS ya no esté visible en Control Hub antes de eliminar su CMK de la consola de AWS.
| 1 |
Inicie sesión en Control Hub y vaya a . |
| 2 |
Vaya a la clave del KMS de AWS eliminada. |
| 3 |
Haga clic en |
| 4 |
Confirme la restauración de la clave. Una vez restaurada, Control Hub le muestra la clave en estado revocado. |
Si tiene problemas con su clave de KMS de AWS, utilice la siguiente información para solucionar el problema.
-
ARN de la clave del KMS de AWS. Por ejemplo,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Estado de la clave del KMS de AWS. Por ejemplo, la clave del KMS de AWS está desactivada.
Este ejemplo utiliza la versión 3.0 de las herramientas de línea de comandos de OpenSSL. Consulte OpenSSL para obtener más información sobre estas herramientas.
| 1 | |
| 2 |
Vaya a . |
| 3 |
Haga clic en Descargar clave pública. Obtendrá la clave pública de Webex HSM en un archivo .pem en su sistema local. |
| 4 |
Cree una clave de 256 bits (32 bytes): En el ejemplo se utiliza el nombre de archivo main_key.bin para su nueva clave sin cifrar. Como alternativa, puede generar un valor aleatorio de 32 bytes usando volcado hexadecimal, Python o generadores en línea. También puede crear y administrar su clave del KMS de AWS. |
| 5 |
Utilice la clave pública de Webex HSM para cifrar su nueva clave: En el ejemplo se utiliza el nombre de archivo main_key_encrypted.bin para la clave de salida cifrada, y el nombre de archivo path/to/public.pem para la clave pública de Webex. La clave cifrada está lista para que la cargue en Control Hub. |
