Gérer votre propre clé principale client

À propos des clés principales du client

Dans le cadre de notre engagement envers la sécurité de bout en bout, Webex détient une clé principale au nom de chaque organisation. Nous l’appelons clé principale car elle ne chiffre pas le contenu directement, mais elle est utilisée pour chiffrer les autres clés de votre organisation qui chiffrent le contenu. Le niveau de base de la hiérarchie des clés est appelé clé de contenu (CK) et les niveaux intermédiaires des clés sont appelés clés de chiffrement de clé (KEK).

Nous reconnaissons que certaines organisations préfèrent gérer leur propre sécurité, nous vous offrons donc la possibilité de gérer votre propre clé principale client (CMK). Cela signifie que vous assumez la responsabilité de la création et de la rotation (rechiffrement) de la clé principale utilisée par Webex pour chiffrer vos clés de chiffrement de contenu.

À l'avenir, une clé fait référence à la clé CMK, sauf indication contraire.

Comment ça marche

Webex conserve votre clé CMK dans un module de sécurité matériel (HSM) afin que les services Webex n’aient pas accès à la valeur de la clé CMK.
Control Hub affiche votre clé CMK actuellement active ou révoquée et toute clé CMK en attente qui sont stockées dans le HSM. Lorsque vous devez faire pivoter (rechiffrer) le CMK, vous générez votre nouveau CMK et le chiffrez avec la clé publique du HSM, afin que seul le HSM puisse le déchiffrer et le stocker.
Vous chargez ensuite et activez la nouvelle clé CMK dans Control Hub. Webex commence immédiatement à utiliser la nouvelle clé CMK pour chiffrer vos clés de contenu. Webex conserve l'ancienne clé CMK, mais uniquement jusqu'à ce qu'il soit sûr que vos clés de chiffrement de contenu sont sécurisées par la nouvelle clé CMK.

Nous ne rechiffrons pas rétroactivement tout le contenu existant. Une fois que vous avez activé votre CMK, tous les nouveaux contenus (espaces et réunions) sont rechiffrés et protégés.

À propos des clés AWS KMS

Nous reconnaissons que certaines organisations préfèrent gérer leur propre clé en dehors de Webex. C’est pourquoi nous vous offrons la possibilité de gérer votre propre CMK dans le service de gestion des clés (KMS) d’Amazon Web Services (AWS). Cela implique que vous êtes responsable de la gestion de vos clés dans AWS KMS. Vous autorisez Webex à chiffrer et déchiffrer à l'aide de votre clé AWS KMS via la console AWS. Vous fournissez à Webex votre identifiant de clé AWS KMS au lieu de votre CMK. Cela signifie que vous assumez la responsabilité de la création et de la rotation (rechiffrement) de la clé AWS KMS utilisée par Webex pour chiffrer vos clés de chiffrement de contenu dans le Cloud.

Comment ça marche

Vous créez une clé avec AWS. AWS KMS est utilisé pour gérer votre clé et la stocke dans un module de sécurité matérielle (HSM).
Vous fournissez à Webex l'accès à l'utilisation de la clé AWS KMS via la console AWS.

Cela signifie qu’au lieu de charger votre CMK dans Control Hub, vous fournissez à Webex l’accès à la clé AWS KMS. La clé AWS KMS ne quitte pas vos AWS KMS et les services Webex n'ont pas accès à la clé AWS KMS.

Control Hub affiche votre clé AWS KMS actuellement active ou révoquée et toute clé AWS KMS en attente qui est stockée dans AWS KMS. Lorsque vous devez faire tourner la clé AWS KMS, vous générez votre nouvelle clé AWS KMS avec la console AWS KMS.
Vous ajoutez et activez ensuite la nouvelle clé AWS KMS dans Control Hub, en lui fournissant le nom de ressource Amazon (ARN) de la nouvelle clé AWS KMS. Webex commence immédiatement à utiliser la nouvelle clé AWS KMS pour chiffrer vos clés de contenu. Webex n'a plus besoin de l'ancienne clé AWS KMS. L’ancienne clé AWS KMS disparaîtra du Control Hub lorsque vos clés de chiffrement de contenu seront tournées et sécurisées par la nouvelle clé AWS KMS. Webex ne supprime pas la clé AWS KMS d'AWS KMS. Votre administrateur client peut supprimer la clé du KMS AWS.

États clés et cycle de vie

Cycle de vie de la clé

Définitions des états clés

En attente

Une clé dans cet état est stockée dans le HSM, mais elle n'est pas encore utilisée pour le chiffrement. Webex n'utilise pas cette clé CMK pour le chiffrement.

Une seule clé peut être dans cet état.

Actif

Webex utilise actuellement cette clé CMK pour chiffrer d'autres clés pour votre organisation.

Une seule clé peut être dans cet état.

Rotation

Webex utilise temporairement cette clé CMK. Webex en a besoin pour déchiffrer vos données et clés précédemment chiffrées par cette clé. Cette clé est retirée lorsque la rotation (rechiffrement) est terminée.

Plusieurs clés peuvent être dans cet état si une nouvelle clé est activée avant la fin de la rotation.

Retraité

Webex n'utilise pas cette clé CMK. Cette clé n'est plus utilisée pour le chiffrement. Une durée de vie de clé est définie, après quoi cette clé est supprimée du HSM.

Révoqué

Webex n'utilise pas cette clé CMK. Même si des données et des clés ont été chiffrées avec cette clé, Webex ne peut pas l'utiliser pour déchiffrer les données et les clés.

Vous ne devez révoquer une clé active que si vous pensez qu’elle est compromise. Il s’agit d’une décision sérieuse car elle empêche de nombreuses opérations de se dérouler correctement. Par exemple, vous ne pourrez pas créer de nouveaux espaces et vous ne pourrez pas déchiffrer le contenu dans Webex Client.
Une seule clé peut être dans cet état. Vous devez réactiver cette clé pour faire pivoter (rechiffrer) une nouvelle clé.
Cette clé CMK peut être supprimée, mais vous n’êtes pas obligé de la supprimer. Vous pouvez le conserver pour le déchiffrer/rechiffrer après avoir résolu la faille de sécurité suspectée.

Supprimé

Webex n'utilise pas cette clé CMK. Le comportement dans cet état est le même que l'état Révoqué, sauf qu'une durée de vie de clé est définie, après quoi cette clé est supprimée du HSM.

Si une clé CMK supprimée passe à l'état Supprimé, vous devez récupérer la clé d'origine pour restaurer la fonctionnalité dans l'organisation.

Nous vous recommandons de conserver une copie de sauvegarde de votre clé d'origine, sinon votre organisation ne fonctionnera plus.

Retiré

Il s'agit d'un état logique. Webex n’a pas cette clé CMK stockée dans le HSM. Il n'est pas affiché dans Control Hub.

Exigences requises

Propriété

En devenant propriétaire de votre clé CMK, vous devez :

Prenez la responsabilité de la création sécurisée et de la sauvegarde de vos clés
Comprendre les implications de la perte de vos clés
Rechiffrez votre CMK actif au moins une fois par an comme meilleure pratique

Création de clé

Vous devez créer votre propre clé CMK à l'aide de ces paramètres. Votre clé doit être :

Longueur de 256 bits (32 octets)
Chiffré avec le schéma RSA-OAEP
Chiffré avec la clé publique Webex Cloud HSM

Votre logiciel de génération de clés doit être capable de :

Fonction de hachage SHA-256
Fonction de génération de masque MGF1
Remplissage OAEP PKCS#1

Reportez-vous à Exemple : Créer et chiffrer des clés avec OpenSSL dans l’onglet Ressources de cet article.

Autorisation

Vous devez avoir accès à votre organisation Webex dans Control Hub. Vous devez être un administrateur complet pour gérer votre clé CMK.

Créer et activer votre clé principale client

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés . Pour activer BYOK, basculez Apportez votre propre clé (BYOK) activé. Si vous désactivez BYOK, le Clé commune par défaut de Webex devient la clé principale de votre organisation.
3	Sélectionnez Télécharger une clé personnalisée et cliquez sur Suivant.
4	Cliquez sur Télécharger la clé publique . Enregistrez la clé publique Webex HSM dans un fichier .pem sur votre système local.
5	Créez une clé aléatoire cryptographiquement sécurisée de 256 bits (32 octets) à l'aide de votre logiciel de gestion de clés.
6	Utilisez la clé publique Webex HSM pour chiffrer votre nouvelle clé. Les paramètres de chiffrement requis sont : Régime RSA-OAEP Fonction de hachage SHA-256 Fonction de génération de masque MGF1 Remplissage OAEP PKCS#1 Reportez-vous à Exemple : Créer et chiffrer des clés avec OpenSSL dans l’onglet Ressources de cet article.
7	Faites glisser la clé chiffrée de votre système de fichiers et déposez-la dans la zone de téléchargement de l'interface Control Hub, ou cliquez sur Choisissez un fichier .
8	Cliquez sur Suivant. Webex charge votre clé sur le HSM, où elle est déchiffrée et validée. Control Hub affiche ensuite l'ID de votre nouvelle clé CMK et l'ID de la clé CMK actuellement active, le cas échéant. S'il s'agit de votre première clé CMK, la clé actuellement active est la Clé commune par défaut de Webex (celui que nous utilisons actuellement pour chiffrer les clés de votre organisation).
9	Choisissez comment vous souhaitez activer votre clé : Activer la nouvelle clé : La nouvelle clé CMK passe immédiatement à l'état Actif. Le CMK précédemment actif passe en Rotation (état de rechiffrement), jusqu’à ce que tout votre contenu soit protégé par le nouveau CMK, après quoi Webex supprime le CMK précédemment actif. Activer plus tard : La nouvelle clé CMK passe à l'état En attente. Webex conserve cette clé CMK dans le HSM, mais ne l’utilise pas encore. Webex continue à utiliser la clé CMK actuellement active pour chiffrer les clés de votre entreprise.

Que faire ensuite

Nous ne rechiffrons pas rétroactivement tout le contenu existant. Lorsque vous activez votre CMK, tous les nouveaux contenus (espaces et réunions) seront rechiffrés et protégés.

Faites pivoter votre clé

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés .
3	Accédez au CMK actif.
4	Cliquez sur et sélectionnez Rotation.
5	Créez et chiffrez une nouvelle clé (si vous ne l'avez pas encore fait). Le processus est décrit dans Créer et activer votre clé principale client dans cet article.
6	Faites glisser la nouvelle clé de votre système de fichiers et déposez-la dans Control Hub.
7	Cliquez sur Activer la nouvelle clé . La nouvelle clé que vous avez chargée passe à l'état Actif. L’ancien CMK reste en rotation (état de rechiffrement) jusqu’à ce que Webex ait fini de chiffrer tout son contenu avec le nouveau CMK actif. Après le rechiffrement, la clé passe à l'état Retiré. Webex supprime ensuite l'ancienne clé CMK.

Révoquer votre clé

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés .
3	Accédez à la touche active.
4	Cliquez sur et sélectionnez Révoquer.
5	Confirmez la révocation de la clé. La révocation complète de votre clé peut durer jusqu’à 10 minutes.

Réactiver votre clé révoquée

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés .
3	Accédez à la clé actuellement révoquée.
4	Cliquez sur et sélectionnez Activer.
5	Confirmez l'activation de la clé. La clé précédemment révoquée passe à l'état Actif.

Supprimer votre clé révoquée

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés .
3	Accédez à la clé révoquée.
4	Cliquez sur et sélectionnez Supprimer.
5	Confirmez la suppression de la clé. Une fois supprimé, vous avez la possibilité de restaurer la clé dans les 30 jours.

Restaurer votre clé révoquée

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés .
3	Accédez à la clé supprimée.
4	Cliquez sur et sélectionnez Undelete.
5	Confirmez la restauration de la clé. Une fois restauré, le Control Hub vous montre la clé dans l’état révoqué avant qu’elle n’ait été supprimée. Par exemple, si vous supprimez une clé révoquée et que vous la restaurez, le Control Hub affiche la clé restaurée à l’état Révoqué.

Exigences requises

Propriété

En vous appropriant votre clé AWS KMS, vous devez :

Prenez la responsabilité de la création et de la sauvegarde sécurisées de vos clés AWS KMS.
Comprendre les implications de la perte de vos clés AWS KMS.
Rechiffrez votre clé AMS KMS active au moins une fois par an comme meilleure pratique.

Autorisation

Vous devez être autorisé à créer et gérer vos clés dans AWS KMS pour votre organisation Webex.
Vous devez avoir accès à votre organisation Webex dans Control Hub. Vous devez être un administrateur complet pour gérer votre clé AWS KMS.

Créer une clé AWS KMS

1	Connectez-vous à AWS et accédez à la console AWS KMS.
2	Sélectionnez Customer managed keys, puis cliquez sur Create key.
3	Créez la clé avec les attributs suivants : Type de clé : sélectionnez Symétrique. Utilisation de la clé—Sélectionnez Chiffrer et déchiffrer. Étiquettes : saisissez l'alias, la description et les étiquettes. Administrateurs clés—Sélectionnez les utilisateurs et les rôles des administrateurs clés de votre organisation. Suppression de clé—Cochez Autoriser les administrateurs de clé à supprimer cette clé. Utilisateurs clés—Sélectionnez les utilisateurs clés et les rôles de votre organisation.
4	Cliquez sur Suivant.
5	Vérifiez vos paramètres et cliquez sur Terminer. Votre clé AWS KMS est créée.
6	Allez dans Clés gérées par le client et cliquez sur l'alias ou l'ID de clé pour afficher l'ARN.

Que faire ensuite

Nous vous recommandons de conserver une copie temporaire de l'ARN. Cet ARN est utilisé pour ajouter et activer votre clé AWS KMS dans Control Hub.

Autoriser Cisco KMS avec accès à la clé AWS KMS

Connectez-vous à AWS et accédez à la console AWS CloudShell.

Exécuter create-grant pour autoriser Webex comme suit :

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Par exemple :

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Le KMS_CISCO_USER_ARN est spécifique à votre organisation. L’ARN est affiché dans la fenêtre Ajouter votre clé AWS lors de l’activation de votre nouvelle clé AWK KMS dans Control Hub.

Ajouter et activer votre clé AWS KMS

Avant de commencer

Vous devez créer une clé AWS KMS avant de l’activer dans Control Hub. Reportez-vous à Créer une clé AWS KMS dans cet article.

Vous devez fournir à Webex l'accès à la clé AWS KMS. Reportez-vous à Autoriser Cisco KMS avec accès à la clé KMS AWS dans cet article.

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l’organisation > Gestion des clés, et activez Bring Your Own Key (BYOK). Si vous désactivez BYOK, le Clé commune par défaut de Webex devient la clé principale de votre organisation.
3	Sélectionnez Add AWS KMS key et cliquez sur Next.
4	Obtenez l'ARN à partir de la console AWS.
5	Saisissez l’ARN dans Control Hub et cliquez sur Ajouter. Votre clé ARN est téléchargée dans Cisco KMS, où l'accès à la clé est validé. Ensuite, Control Hub vous montre l'ID de clé Cisco KMS de votre nouvelle clé AWS KMS et l'ID de clé Cisco KMS actuellement actif, le cas échéant. S'il s'agit de votre première clé AWS KMS, la clé actuellement active est la clé commune par défaut de Webex (celle que nous utilisons actuellement pour chiffrer les clés de votre organisation).
6	Choisissez comment vous souhaitez activer votre clé : Activer : La nouvelle clé AWS KMS passe immédiatement à l'état actif. Activer plus tard : La nouvelle clé AWS KMS passe à l'état En attente. Webex conserve cet ARN de clé AWS KMS dans Cisco KMS, mais ne l’utilise pas encore. Webex continue à utiliser la clé AWS KMS actuellement active pour chiffrer les clés de votre organisation.

Faites tourner votre clé AWS KMS

1	Connectez-vous à Control Hub, puis allez à Paramètres de l’organisation > Gestion des clés.
2	Accédez à la clé AWS KMS active.
3	Cliquez sur et sélectionnez Rotation.
4	Saisissez votre nouvelle clé AWS KMS et votre nouvel ARN et cliquez sur Ajouter. Le processus est décrit dans Ajouter et activer votre clé AMS KMS dans cet article.
5	Cliquez sur Activer. La nouvelle clé AWS KMS que vous avez chargée passe à l'état Actif. L'ancienne clé AWS KMS reste à l'état Rotatif jusqu'à ce que Webex ait fini de chiffrer tout son contenu avec la nouvelle clé AWS KMS active. Après le rechiffrement, l’ancienne clé AWS KMS disparaît automatiquement du Control Hub.

Faites pivoter pour ajouter une autre clé AWS KMS (facultatif)

1	Connectez-vous à Control Hub, puis allez à Paramètres de l’organisation > Gestion des clés.
2	Cliquez sur Ajouter une autre clé.
3	Saisissez votre nouvelle clé AWS KMS et cliquez sur Ajouter. Control Hub vous montre l’ID de clé Cisco KMS de votre nouvelle clé AWS KMS et l’ID de la clé Cisco KMS actuellement active. Le processus est décrit dans Ajouter et activer votre clé AMS KMS dans cet article.
4	Cliquez sur Activer. La nouvelle clé AWS KMS que vous avez chargée passe à l'état Actif. L'ancienne clé AWS KMS reste à l'état Rotatif jusqu'à ce que Webex ait fini de chiffrer tout son contenu avec la nouvelle clé AWS KMS active. Après le rechiffrement, l’ancienne clé AWS KMS disparaît automatiquement du Control Hub.

Révoquer votre clé AWS KMS

1	Connectez-vous à Control Hub, puis allez à Paramètres de l’organisation > Gestion des clés.
2	Accédez à la clé AWS KMS actuellement active.
3	Cliquez sur et sélectionnez Révoquer localement.
4	Confirmez la révocation de la clé. La révocation complète de votre clé peut durer jusqu’à 10 minutes. La clé AWS KMS passe à l'état révoqué localement.

Si votre administrateur client révoque la clé de la console AWS KMS, alors la clé AWS KMS est affichée dans l'état Révoquée par Amazon dans Control Hub.

Supprimer votre clé AWS KMS

1	Connectez-vous à Control Hub, puis allez à Paramètres de l’organisation > Gestion des clés.
2	Accédez à la clé AWS KMS révoquée.
3	Cliquez sur et sélectionnez Supprimer.
4	Confirmez la suppression de la clé. Une fois supprimé, vous pouvez récupérer la clé dans les 30 jours.

Nous vous recommandons de supprimer d'abord la clé AWS KMS du Control Hub avant de supprimer votre CMK de la console AWS. Si vous supprimez votre CMK de la console AWS avant de supprimer la clé AWS KMS dans Control Hub, vous risquez de rencontrer des problèmes.

Assurez-vous que la clé AWS KMS n’est plus visible dans Control Hub avant de supprimer votre CMK de la console AWS.

Restaurer votre clé AWS KMS

1	Connectez-vous à Control Hub, puis allez à Paramètres de l’organisation > Gestion des clés.
2	Accédez à la clé AWS KMS supprimée.
3	Cliquez sur et sélectionnez Undelete.
4	Confirmez la restauration de la clé. Une fois restauré, le Control Hub vous montre la clé à l’état révoqué.

Dépannage de votre clé AWS KMS

Si vous rencontrez des problèmes avec votre clé AWS KMS, utilisez les informations suivantes pour la dépanner.

Clé AWS KMS ARN. Par exemple, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Subventions sur la clé AWS KMS.
État de clé AWS KMS. Par exemple, la clé AWS KMS est désactivée.

Exemple : Créer et chiffrer des clés avec OpenSSL

Cet exemple utilise la version 3.0 des outils de ligne de commande OpenSSL. Voir OpenSSL pour en savoir plus sur ces outils.

1	Connectez-vous au Control Hub.
2	Aller à Paramètres de l'organisation > Gestion des clés .
3	Cliquez sur Télécharger la clé publique . Vous obtenez la clé publique Webex HSM dans un fichier .pem sur votre système local.
4	Créez une clé de 256 bits (32 octets) : `openssl rand 32 -out main_key.bin` L'exemple utilise le nom de fichiermain_key .bin pour votre nouvelle clé non chiffrée.
5	Utilisez la clé publique Webex HSM pour chiffrer votre nouvelle clé : `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` L'exemple utilise le nom de fichiermain_key_encrypted .bin pour la clé de sortie chiffrée et le nom de fichier chemin/vers/public.pem pour la clé publique Webex. La clé chiffrée est prête à être téléchargée sur Control Hub.