Hallitse omaa asiakkaan pääavainta

Tietoja asiakkaan pääavaimista

Osana sitoutumistamme päästä päähän -turvallisuuteen Webexillä on pääavain jokaisen organisaation puolesta. Kutsumme sitä pääavaimeksi, koska se ei salaa sisältöä suoraan, mutta sitä käytetään organisaatiosi muiden sisällön salaavien avainten salaamiseen. Avainhierarkian perustasoa kutsutaan sisältöavaimeksi (CK) ja avainten välitasoiksi avainsalausavaimia (KEK).

Ymmärrämme, että jotkut organisaatiot haluavat hallita omaa tietoturvaansa, joten annamme sinulle mahdollisuuden hallita omaa asiakkaan pääavainta (CMK). Tämä tarkoittaa, että otat vastuun pääavaimen luomisesta ja kiertämisestä (uudelleensalauksesta), jota Webex käyttää sisällön salausavaimien salaamiseen.

Jatkossa avain viittaa CMK:hen, ellei toisin mainita.

Kuinka se toimii

Webex säilyttää CMK:n laitteiston suojausmoduulissa (HSM), jotta Webex-palvelut eivät pääse käsiksi CMK-arvoon.
Control Hub näyttää tällä hetkellä aktiivisen tai peruutetun CMK:n ja kaikki odottavat CMK:t, jotka on tallennettu HSM:ään. Kun sinun on käännettävä (uudelleensalattava) CMK, luot uuden CMK:n ja salaat sen HSM:n julkisella avaimella, jotta vain HSM voi purkaa ja tallentaa sen.
Lataat ja aktivoit sitten uuden CMK:n Control Hubissa. Webex alkaa välittömästi käyttää uutta CMK:ta sisältöavainten salaamiseen. Webex säilyttää vanhan CMK:n, mutta vain siihen asti, kunnes se on varma, että uusi CMK suojaa sisällön salausavaimesi.

Emme salaa takautuvasti uudelleen kaikkea olemassa olevaa sisältöä. Kun aktivoit CMK:n, kaikki uusi sisältö (Spaces ja Meetings) salataan ja suojataan uudelleen.

Tietoja AWS KMS -avaimista

Ymmärrämme, että jotkut organisaatiot haluavat hallita omaa avaimensa Webexin ulkopuolella. Siksi annamme sinulle mahdollisuuden hallita omaa CMK:ta Amazon Web Services (AWS) Key Management Servicessä (KMS). Tämä tarkoittaa, että olet vastuussa avainten hallinnasta AWS KMS:ssä. Valtuutat Webexin salaamaan ja purkamaan salauksen käyttämällä AWS KMS -avainta AWS-konsolin kautta. Annat Webexille AWS KMS -avaintunnuksesi CMK:n sijaan. Tämä tarkoittaa, että otat vastuun AWS KMS -avaimen luomisesta ja kiertämisestä (uudelleensalauksesta), jota Webex käyttää sisällön salausavaimien salaamiseen pilvessä.

Kuinka se toimii

Luot avaimen AWS:llä. AWS KMS:ää käytetään avaimesi hallintaan, ja se tallentaa avaimen laitteiston suojausmoduuliin (HSM).
Annat Webexille AWS KMS -avaimen käytön AWS-konsolin kautta.

Tämä tarkoittaa, että sen sijaan, että lataat CMK:n Control Hubiin, annat Webexille pääsyn AWS KMS-avaimeen. AWS KMS -avain ei jätä AWS KMS:ääsi ja Webex-palveluilla ei ole pääsyä AWS KMS -avainmateriaaliin.

Control Hub näyttää tällä hetkellä aktiivisen tai peruutetun AWS KMS -avaimesi ja kaikki odottavat AWS KMS -avaimet, jotka on tallennettu AWS KMS:ään. Kun sinun on käännettävä AWS KMS -avainta, luot uuden AWS KMS -avaimen AWS KMS -konsolilla.
Tämän jälkeen lisäät ja aktivoit uuden AWS KMS -avaimen Control Hubissa ja annat sille uuden AWS KMS -avaimen Amazon Resource Name (ARN). Webex alkaa välittömästi käyttää uutta AWS KMS -avainta sisältöavainten salaamiseen. Webex ei enää vaadi vanhaa AWS KMS -avainta. Vanha AWS KMS -avain katoaa Control Hubista, kun sisällön salausavaimet on käännetty ja suojattu uudella AWS KMS -avaimella. Webex ei poista AWS KMS -avainta AWS KMS:stä. Asiakkaan järjestelmänvalvoja voi poistaa avaimen AWS KMS:stä.

Keskeiset tilat ja elinkaari

Avaimen elinkaari

Tärkeimmät tilan määritelmät

Odottaa

Tässä tilassa oleva avain on tallennettu HSM:ään, mutta sitä ei vielä käytetä salaukseen. Webex ei käytä tätä CMK:ta salaukseen.

Vain yksi avain voi olla tässä tilassa.

Aktiivinen

Webex käyttää tällä hetkellä tätä CMK:ta organisaatiosi muiden avainten salaamiseen.

Vain yksi avain voi olla tässä tilassa.

Kierto

Webex käyttää tilapäisesti tätä CMK:ta. Webex tarvitsee sitä tietojesi ja avainten salauksen purkamiseen, jotka on aiemmin salattu tällä avaimella. Tämä avain poistetaan käytöstä, kun kierto (uudelleensalaus) on valmis.

Useat näppäimet voivat olla tässä tilassa, jos uusi avain aktivoidaan ennen kuin kierto on valmis.

Eläkkeellä

Webex ei käytä tätä CMK:ta. Tätä avainta ei enää käytetä salaukseen. Avaimen käyttöaika asetetaan, minkä jälkeen tämä avain poistetaan HSM:stä.

Peruutettu

Webex ei käytä tätä CMK:ta. Vaikka tällä avaimella salattuja tietoja ja avaimia olisi, Webex ei voi käyttää sitä tietojen ja avainten salauksen purkamiseen.

Sinun tarvitsee vain peruuttaa aktiivinen avain, jos epäilet, että se on vaarantunut. Tämä on vakava päätös, koska se estää monia toimintoja toimimasta oikein. Et esimerkiksi voi luoda uusia tiloja etkä voi purkaa Webex-asiakassovelluksen sisällön salausta.
Vain yksi avain voi olla tässä tilassa. Sinun on aktivoitava tämä avain uudelleen, jotta voit kiertää (salata uudelleen) uuden avaimen.
Tämä CMK voidaan poistaa, mutta sinun ei tarvitse poistaa sitä. Voit halutessasi säilyttää sen salauksen purkamista/uudelleensalausta varten, kun olet ratkaissut epäillyn tietoturvaloukkauksen.

Poistettu

Webex ei käytä tätä CMK:ta. Käyttäytyminen tässä tilassa on sama kuin Peruutettu-tilassa, paitsi että avaimen elinikä on asetettu, minkä jälkeen tämä avain poistetaan HSM:stä.

Jos poistettu CMK etenee Poistettu-tilaan, sinun on palautettava alkuperäinen avain, jotta organisaation toimivuus voidaan palauttaa.

Suosittelemme, että pidät varmuuskopion alkuperäisestä avaimestasi, muuten organisaatiosi ei enää toimi.

Poistettu

Tämä on looginen tila. Webexillä ei ole tätä CMK:ta tallennettuna HSM:ään. Se ei näy Control Hubissa.

Vaatimukset

Omistajuus

Ottamalla CMK:n omistukseen sinun on:

Ota vastuu avaimesi turvallisesta luomisesta ja varmuuskopioinnista
Ymmärrä avainten katoamisen seuraukset
Salaa aktiivinen CMK uudelleen vähintään kerran vuodessa parhaana käytäntönä

Avaimen luominen

Sinun on luotava oma CMK käyttämällä näitä parametreja. Avaimesi tulee olla:

256 bittiä (32 tavua) pitkä
Salattu RSA-OAEP-järjestelmällä
Salattu Webex-pilvi HSM julkisella avaimella

Avainten luontiohjelmistosi on kyettävä:

SHA-256 hash-toiminto
MGF1-maskin generointitoiminto
PKCS#1 OAEP pehmuste

Viitata Esimerkki: Luo ja salaa avaimia OpenSSL:llä tämän artikkelin Resurssit-välilehdessä.

Valtuutus

Sinulla on oltava pääsy Webex-organisaatioosi Control Hubissa. Sinun täytyy olla a täysi ylläpitäjä hallita CMK:ta.

Luo ja aktivoi asiakkaan pääavain

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta. Ota BYOK käyttöön vaihtamalla Tuo oma avain (BYOK) päällä. Jos poistat BYOK:n käytöstä, Webexin yleinen oletusavain siitä tulee organisaatiosi tärkein avain.
3	Valitse Lataa mukautettu avain ja napsauta Seuraava.
4	Klikkaus Lataa julkinen avain. Tallenna Webex HSM:n julkinen avain .pem-tiedostoon paikalliseen järjestelmääsi.
5	Luo kryptografisesti turvallinen 256-bittinen (32 tavua) satunnainen avain avaintenhallintaohjelmistollasi.
6	Käytä Webex HSM julkista avainta salataksesi uuden avaimesi. Vaaditut salausparametrit ovat: RSA-OAEP-järjestelmä SHA-256 hash-toiminto MGF1-maskin generointitoiminto PKCS#1 OAEP pehmuste Viitata Esimerkki: Luo ja salaa avaimia OpenSSL:llä tämän artikkelin Resurssit-välilehdessä.
7	Vedä salattu avain tiedostojärjestelmästäsi ja pudota se Control Hub -käyttöliittymän latausalueelle tai napsauta Valitse tiedosto.
8	Klikkaus Seuraava. Webex lataa avaimesi HSM:ään, jossa se puretaan ja vahvistetaan. Sitten Control Hub näyttää sinulle uuden CMK:n tunnuksen ja tällä hetkellä aktiivisen CMK:n tunnuksen, jos sellainen on. Jos tämä on ensimmäinen CMK:si, tällä hetkellä aktiivinen avain on Webexin yleinen oletusavain (se, jota käytämme tällä hetkellä organisaatiosi avainten salaamiseen).
9	Valitse, kuinka haluat aktivoida avaimesi: Aktivoi uusi avain: Uusi CMK siirtyy välittömästi aktiiviseen tilaan. Aiemmin aktiivinen CMK siirtyy kiertoon (uudelleensalaustilaan), kunnes kaikki sisältösi on suojattu uudella CMK:lla, minkä jälkeen Webex poistaa aiemmin aktiivisen CMK:n. Aktivoi myöhemmin: Uusi CMK siirtyy Odottaa-tilaan. Webex säilyttää tämän CMK:n HSM:ssä, mutta ei käytä sitä vielä. Webex jatkaa tällä hetkellä aktiivisen CMK:n käyttöä organisaatiosi avainten salaamiseen.

Mitä tehdä seuraavaksi

Emme salaa takautuvasti uudelleen kaikkea olemassa olevaa sisältöä. Kun aktivoit CMK:n, kaikki uusi sisältö (Spaces ja Meetings) salataan ja suojataan uudelleen.

Käännä avainta

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta.
3	Siirry aktiiviseen CMK:hen.
4	Klikkaus ja valitse Kiertää.
5	Luo ja salaa uusi avain (jos et ole vielä tehnyt sitä). Prosessi on kuvattu kohdassa Luo ja aktivoi asiakkaan pääavain tässä artikkelissa.
6	Vedä uusi avain tiedostojärjestelmästäsi ja pudota se Control Hubiin.
7	Klikkaus Aktivoi uusi avain. Lataamasi uusi avain siirtyy aktiiviseen tilaan. Vanha CMK pysyy kiertotilassa (uudelleensalaustilassa), kunnes Webex on valmis salaamaan kaiken sisällön uudella Active CMK:lla. Uudelleensalauksen jälkeen avain siirtyy Retired-tilaan. Webex poistaa sitten vanhan CMK:n.

Peruuta avaimesi

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta.
3	Siirry aktiiviseen avaimeen.
4	Klikkaus ja valitse Peruuttaa.
5	Vahvista avaimen peruutus. Avaimesi peruuttaminen voi kestää jopa 10 minuuttia.

Aktivoi peruutettu avaimesi uudelleen

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta.
3	Siirry tällä hetkellä peruutettuun avaimeen.
4	Klikkaus ja valitse Aktivoida.
5	Vahvista avaimen aktivointi. Aiemmin kumottu avain siirtyy aktiiviseen tilaan.

Poista peruutettu avain

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta.
3	Siirry peruutettuun avaimeen.
4	Klikkaus ja valitse Poistaa.
5	Vahvista avaimen poisto. Kun avain on poistettu, sinulla on mahdollisuus palauttaa avain 30 päivän kuluessa.

Palauta peruutettu avaimesi

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta.
3	Siirry poistettuun avaimeen.
4	Klikkaus ja valitse Peruuta.
5	Vahvista avaimen palautus. Kun Control Hub on palautettu, se näyttää avaimen peruutetussa tilassa ennen sen poistamista. Jos esimerkiksi poistat peruutetun avaimen ja palautat sitten avaimen, Control Hub näyttää palautetun avaimen Peruutettu-tilassa.

Vaatimukset

Omistajuus

Ottamalla AWS KMS -avaimesi omistukseen sinun on:

Ota vastuu AWS KMS -avaimien turvallisesta luomisesta ja varmuuskopioinnista.
Ymmärrä AWS KMS -avaimien katoamisen seuraukset.
Salaa aktiivinen AMS KMS -avaimesi uudelleen vähintään kerran vuodessa parhaana käytäntönä.

Valtuutus

Sinulla on oltava lupa luoda ja hallita avaimia Webex-organisaatiosi AWS KMS:ssä.
Sinulla on oltava pääsy Webex-organisaatioosi Control Hubissa. Sinun täytyy olla a täysi ylläpitäjä hallita AWS KMS -avainta.

Luo AWS KMS -avain

1	Kirjaudu sisään AWS ja siirry AWS KMS -konsoliin.
2	Valitse Asiakkaan hallinnoimat avaimet ja napsauta sitten Luo avain.
3	Luo avain seuraavilla määritteillä: Avaintyyppi – Valitse Symmetrinen. Avaimen käyttö – Valitse Salaa ja pura salaus. Tarrat – Syötä alias, kuvaus ja tunnisteet. Pääjärjestelmänvalvojat – Valitse organisaatiosi tärkeimmät järjestelmänvalvojat ja -roolit. Avaimen poisto – Tarkista Salli avainten järjestelmänvalvojien poistaa tämä avain. Avainkäyttäjät – Valitse organisaatiosi avainkäyttäjät ja roolit.
4	Klikkaus Seuraava.
5	Tarkista asetuksesi ja napsauta Suorittaa loppuun. AWS KMS -avain on luotu.
6	Mene Asiakkaan hallinnoimat avaimet ja napsauta aliasta tai avaintunnusta nähdäksesi ARN.

Mitä tehdä seuraavaksi

Suosittelemme, että säilytät väliaikaisen ARN-kopion. Tätä ARN:ää käytetään AWS KMS -avaimesi lisäämiseen ja aktivoimiseen Control Hubissa.

Valtuuta Cisco KMS AWS KMS -avaimella

Kirjaudu sisään AWS ja siirry AWS CloudShell -konsoliin.

Juosta create-grant valtuuttaa Webex seuraavasti:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Esimerkiksi:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

The KMS_CISCO_USER_ARN on organisaatiollesi ominaista. ARN näkyy Lisää AWS-avain -ikkunassa, kun aktivoit uuden AWK KMS -avaimesi Control Hubissa.

Lisää ja aktivoi AWS KMS -avain

Ennen kuin aloitat

Sinun on luotava AWS KMS -avain ennen kuin aktivoit sen Control Hubissa. Viitata Luo AWS KMS -avain tässä artikkelissa.

Sinun on annettava Webexille pääsy AWS KMS -avaimeen. Viitata Valtuuta Cisco KMS AWS KMS -avaimella tässä artikkelissa.

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta, ja vaihda Tuo oma avain (BYOK) päällä. Jos poistat BYOK:n käytöstä, Webexin yleinen oletusavain siitä tulee organisaatiosi tärkein avain.
3	Valitse Lisää AWS KMS -avain ja napsauta Seuraava.
4	Hanki ARN AWS-konsolista.
5	Kirjoita ARN Control Hubiin ja napsauta Lisätä. Avaimesi ARN ladataan Cisco KMS:ään, jossa pääsy avaimeen tarkistetaan. Sitten Control Hub näyttää sinulle uuden AWS KMS -avaimesi Cisco KMS -avaintunnuksen ja tällä hetkellä aktiivisen Cisco KMS -avaintunnuksen, jos sellainen on. Jos tämä on ensimmäinen AWS KMS -avaimesi, tällä hetkellä aktiivinen avain on Webexin yleinen oletusavain (se, jota käytämme tällä hetkellä organisaatiosi avainten salaamiseen).
6	Valitse, kuinka haluat aktivoida avaimesi: Aktivoida: Uusi AWS KMS -avain siirtyy välittömästi aktiiviseen tilaan. Aktivoi myöhemmin: Uusi AWS KMS -avain siirtyy Odottaa-tilaan. Webex säilyttää tämän AWS KMS -avaimen ARN:n Cisco KMS:ssä, mutta ei käytä sitä vielä. Webex jatkaa tällä hetkellä aktiivisen AWS KMS -avaimen käyttöä organisaatiosi avainten salaamiseen.

Pyöritä AWS KMS -avainta

1	Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen Organisaation asetukset > Avaintenhallinta.
2	Siirry aktiiviseen AWS KMS -avaimeen.
3	Klikkaus ja valitse Kiertää.
4	Anna uusi AWS KMS-avain ja uusi ARN ja napsauta Lisätä. Prosessi on kuvattu kohdassa Lisää ja aktivoi AMS KMS -avain tässä artikkelissa.
5	Klikkaus Aktivoida. Lähettämäsi uusi AWS KMS-avain siirtyy aktiiviseen tilaan. Vanha AWS KMS -avain pysyy pyörivässä tilassa, kunnes Webex on lopettanut kaiken sisällön salaamisen uudella Active AWS KMS -avaimella. Uudelleensalauksen jälkeen vanha AWS KMS -avain katoaa automaattisesti Control Hubista.

Lisää toinen AWS KMS -avain kääntämällä (valinnainen)

1	Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen Organisaation asetukset > Avaintenhallinta.
2	Klikkaus Lisää toinen avain.
3	Kirjoita uusi AWS KMS -avain ja napsauta Lisätä. Control Hub näyttää uuden AWS KMS -avaimesi Cisco KMS -avaintunnuksen ja tällä hetkellä aktiivisen Cisco KMS -avaintunnuksen tunnuksen. Prosessi on kuvattu kohdassa Lisää ja aktivoi AMS KMS -avain tässä artikkelissa.
4	Klikkaus Aktivoida. Lähettämäsi uusi AWS KMS-avain siirtyy aktiiviseen tilaan. Vanha AWS KMS -avain pysyy pyörivässä tilassa, kunnes Webex on lopettanut kaiken sisällön salaamisen uudella Active AWS KMS -avaimella. Uudelleensalauksen jälkeen vanha AWS KMS -avain katoaa automaattisesti Control Hubista.

Peruuta AWS KMS -avain

1	Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen Organisaation asetukset > Avaintenhallinta.
2	Siirry tällä hetkellä aktiiviseen AWS KMS -avaimeen.
3	Klikkaus ja valitse Peruuta paikallisesti.
4	Vahvista avaimen peruutus. Avaimesi peruuttaminen voi kestää jopa 10 minuuttia. AWS KMS -avain siirtyy Paikallisesti peruutettuun tilaan.

Jos asiakkaan järjestelmänvalvoja peruuttaa avaimen AWS KMS -konsolista, AWS KMS -avain näkyy Amazonin peruuttanut -tilassa Control Hubissa.

Poista AWS KMS -avain

1	Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen Organisaation asetukset > Avaintenhallinta.
2	Siirry peruutettuun AWS KMS -avaimeen.
3	Klikkaus ja valitse Poistaa.
4	Vahvista avaimen poisto. Kun olet poistanut, voit palauttaa avaimen 30 päivän kuluessa.

Suosittelemme, että poistat AWS KMS -avaimen Control Hubista ennen kuin poistat CMK:n AWS-konsolista. Jos poistat CMK:n AWS-konsolista ennen kuin poistat AWS KMS -avaimen Control Hubissa, saatat kohdata ongelmia.

Varmista, että AWS KMS -avain ei ole enää näkyvissä Control Hubissa, ennen kuin poistat CMK:n AWS-konsolista.

Palauta AWS KMS -avain

1	Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen Organisaation asetukset > Avaintenhallinta.
2	Siirry poistettuun AWS KMS -avaimeen.
3	Klikkaus ja valitse Peruuta.
4	Vahvista avaimen palautus. Kun Control Hub on palautettu, se näyttää avaimen peruutetussa tilassa.

Tee AWS KMS -avaimen vianetsintä

Jos kohtaat ongelmia AWS KMS -avaimesi kanssa, käytä seuraavia tietoja vianetsintään.

AWS KMS -avain ARN. Esimerkiksi, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Apurahat AWS KMS -avaimella.
AWS KMS -avaimen tila. Esimerkiksi AWS KMS -avain on poistettu käytöstä.

Esimerkki: Luo ja salaa avaimia OpenSSL:llä

Tässä esimerkissä käytetään OpenSSL-komentorivityökalujen versiota 3.0. Katso OpenSSL lisätietoja näistä työkaluista.

1	Kirjaudu sisään Ohjauskeskus.
2	Mene Organisaation asetukset > Avaintenhallinta.
3	Klikkaus Lataa julkinen avain. Saat Webex HSM:n julkisen avaimen .pem-tiedostossa paikallisessa järjestelmässäsi.
4	Luo 256-bittinen (32 tavua) avain: `openssl rand 32 -out main_key.bin` Esimerkki käyttää tiedostonimeä main_key.bin salaamattomalle uudelle avaimellesi.
5	Käytä Webex HSM julkista avainta salataksesi uuden avaimesi: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Esimerkki käyttää tiedostonimeä main_key_encrypted.bin salatun tulostusavaimen ja tiedostonimen path/to/public.pem Webexin julkiselle avaimelle. Salattu avain on valmis ladattavaksi Control Hubiin.