À propos des clés principales des clients

Dans le cadre de notre engagement en matière de sécurité de bout en bout, Webex détient une clé principale au nom de chaque organisation. Nous l’appelons une clé principale car elle ne chiffre pas directement le contenu, mais elle est utilisée pour chiffrer les autres clés de votre organisation qui chiffrent le contenu. Le niveau de base de la hiérarchie des clés est appelé clé de contenu (CK) et les niveaux intermédiaires des clés sont appelés clés de chiffrement de clés (KEK).

Nous reconnaissons que certaines organisations préfèrent gérer leur propre sécurité, c’est pourquoi nous vous donnons la possibilité de gérer votre propre clé principale (CMK) client. Cela signifie que vous prenez la responsabilité de créer et de faire tourner (recrypter) la clé principale que Webex utilise pour crypter vos clés de chiffrement de contenu.

À l'avenir, une clé fait référence à la CMK, sauf indication contraire.

Fonctionnement

  1. Webex conserve votre CMK dans un module de sécurité matérielle (HSM) afin que les services Webex n’aient pas accès à la valeur CMK.

  2. Le Control Hub affiche votre CMK actuellement actif ou révoqué et toutes les CMK en attente qui sont stockées dans le HSM. Lorsque vous devez faire tourner (rechiffrer) le CMK, vous générez votre nouveau CMK et le chiffrez avec la clé publique du HSM, afin que seul le HSM puisse le déchiffrer et le stocker.

  3. Vous téléchargez et activez ensuite la nouvelle clé CMK dans Control Hub. Webex commence immédiatement à utiliser la nouvelle clé CMK pour chiffrer vos clés de contenu. Webex conserve l’ancienne CMK, mais uniquement jusqu’à ce qu’il soit sûr que vos clés de chiffrement de contenu sont sécurisées par la nouvelle CMK.

Nous ne rechiffrons pas rétroactivement tout le contenu existant. Une fois que vous avez activé votre CMK, tous les nouveaux contenus (espaces et réunions) sont rechiffrés et protégés.
À propos des clés KMS AWS

Nous reconnaissons que certaines organisations préfèrent gérer leur propre clé en dehors de Webex. C’est pourquoi nous vous donnons la possibilité de gérer votre propre CMK dans le service de gestion des clés (KMS) d’Amazon Web Services (AWS). Cela implique que vous êtes responsable de la gestion de vos clés dans le KMS AWS. Vous autorisez Webex à chiffrer et déchiffrer en utilisant votre clé AWS KMS par le biais de la console AWS. Vous fournissez à Webex votre ID de clé AWS KMS au lieu de votre clé CMK. Cela signifie que vous êtes responsable de la création et de la rotation (rechiffrement) de la clé AWS KMS que Webex utilise pour chiffrer les clés de chiffrement de votre contenu dans le Cloud.

Fonctionnement

  1. Vous créez une clé avec AWS. AWS KMS est utilisé pour gérer votre clé et la stocke dans un module de sécurité matérielle (HSM).

  2. Vous donnez à Webex l’accès pour utiliser la clé KMS AWS par le biais de la console AWS.

    Cela signifie qu’au lieu de charger votre clé CMK dans Control Hub, vous donnez à Webex l’accès à la clé AWS KMS. La clé AWS KMS ne laisse pas votre AWS KMS et les services Webex n’ont pas accès au matériel de clé AWS KMS.

    Control Hub affiche votre clé AWS KMS actuellement active ou révoquée et toute clé AWS KMS en attente stockée dans l’AWS KMS. Lorsque vous devez faire tourner la clé AWS KMS, vous générez votre nouvelle clé AWS KMS avec la console AWS KMS.

  3. Vous ajoutez et activez ensuite la nouvelle clé AWS KMS dans Control Hub, en lui fournissant le nom de ressource Amazon (ARN) de la nouvelle clé AWS KMS. Webex commence immédiatement à utiliser la nouvelle clé AWS KMS pour chiffrer vos clés de contenu. Webex ne nécessite plus l’ancienne clé AWS KMS. L’ancienne clé AWS KMS disparaîtra du Control Hub après la rotation et la sécurisation des clés de chiffrement de votre contenu par la nouvelle clé AWS KMS. Webex ne supprime pas la clé KMS AWS de la clé KMS AWS. Votre administrateur client peut supprimer la clé de l’AWS KMS.

États clés et cycle de vie

Cycle de vie des clés

Définitions des états clés

En attente

Une clé dans cet état est stockée dans le HSM mais elle n'est pas encore utilisée pour le chiffrement. Webex n’utilise pas ce code CMK pour le chiffrement.

Une seule touche peut être dans cet état.
Active

Webex utilise actuellement ce code CMK pour chiffrer les autres clés de votre organisation.

Une seule touche peut être dans cet état.
Rotation

Webex utilise temporairement ce CMK. Webex en a besoin pour déchiffrer vos données et les clés qui ont été précédemment chiffrées par cette clé. Cette clé est supprimée lorsque la rotation (rechiffrage) est terminée.

Plusieurs touches peuvent être dans cet état si une nouvelle touche est activée avant la fin de la rotation.
Supprimée

Webex n’utilise pas ce CMK. Cette clé n’est plus utilisée pour le chiffrement. Une durée de vie de la clé est définie, après quoi cette clé est supprimée du HSM.

Révoquée

Webex n’utilise pas ce CMK. Même si des données et des clés ont été chiffrées avec cette clé, Webex ne peut pas l’utiliser pour déchiffrer les données et les clés.

  • Vous devez révoquer une clé active uniquement si vous pensez qu’elle est compromise. C'est une décision sérieuse parce qu'elle empêche de nombreuses opérations de se comporter correctement. Par exemple, vous ne pourrez pas créer de nouveaux espaces, et vous ne pourrez pas déchiffrer le contenu dans le client Webex.
  • Une seule touche peut être dans cet état. Vous devez réactiver cette clé pour faire tourner (rechiffrer) une nouvelle clé.
  • Cette clé de commande peut être supprimée, mais il n’est pas nécessaire de la supprimer. Vous pouvez la conserver pour le déchiffrage/le rechiffrement après avoir résolu la violation de sécurité suspectée.
Supprimé(s)

Webex n’utilise pas ce CMK. Le comportement dans cet état est le même que l'état révoqué, sauf qu'une durée de vie de la clé est définie, après quoi cette clé est supprimée du HSM.

  • Si un CMK supprimé passe à l'état supprimé, vous devez récupérer la clé d'origine pour restaurer les fonctionnalités de l'organisation.
  • Nous vous recommandons de conserver une copie de sauvegarde de votre clé d'origine, sinon votre organisation ne sera plus fonctionnelle.
Supprimé(s)

Il s'agit d'un état logique. Webex n’a pas ce CMK stocké dans le HSM. Il n’est pas affiché dans le Control Hub.

Configuration requise

Propriété

En prenant la propriété de votre CMK, vous devez :

  • Prenez la responsabilité de la création et de la sauvegarde sécurisées de vos clés
  • Comprendre les implications de la perte de vos clés
  • Rechiffrer votre CMK actif au moins une fois par an comme meilleure pratique

Création de clés

Vous devez créer votre propre CMK à l'aide de ces paramètres. Votre clé doit être :

  • 256 bits (32 octets)
  • Chiffré avec le schéma RSA-OAEP
  • Chiffré avec la clé publique Webex cloud HSM

Votre logiciel de génération de clés doit être capable de :

  • Fonction de hachage SHA-256
  • Fonction génération du masque MGF1
  • Remplissage OAEP PKCS n° 1

Reportez-vous à Exemple : Créer et chiffrer les clés avec OpenSSL dans l'onglet Ressources de cet article.

Autorisation

Vous devez avoir accès à votre organisation Webex dans Control Hub. Vous devez être un administrateur complet pour gérer votre CMK.

Créer et activer la clé principale de votre client
1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

Pour activer BYOK, activez l’option Bring Your Own Key (BYOK) . Si vous désactivez BYOK, la clé commune par défaut Webex devient la clé principale de votre organisation.

3

Sélectionnez Charger une clé personnalisée et cliquez sur Suivant.

4

Cliquez sur Télécharger la clé publique.

Enregistrez la clé publique Webex HSM dans un fichier .pem sur votre système local.

5

Créez une clé aléatoire 256 bits (32 octets) sécurisée cryptographiquement à l’aide de votre logiciel de gestion des clés.

6

Utilisez la clé publique Webex HSM pour chiffrer votre nouvelle clé.

Les paramètres de chiffrement requis sont :

  • Schéma RSA-OAEP
  • Fonction de hachage SHA-256
  • Fonction génération du masque MGF1
  • Remplissage OAEP PKCS n° 1
Reportez-vous à Exemple : Créer et chiffrer les clés avec OpenSSL dans l'onglet Ressources de cet article.
7

Faites glisser la clé chiffrée à partir de votre système de fichiers et déposez-la dans la zone de téléchargement de l’interface du Control Hub, ou cliquez sur Choisir un fichier.

8

Cliquez sur Suivant.

Webex charge votre clé dans le HSM, où elle est déchiffrée et validée. Control Hub vous indique ensuite l'ID de votre nouveau CMK et l'ID du CMK actuellement actif, le cas échéant.

S’il s’agit de votre premier CMK, la clé actuellement active est la clé commune par défaut Webex (celle que nous utilisons actuellement pour chiffrer les clés de votre organisation).

9

Choisissez comment vous souhaitez activer votre clé :

  • Activer une nouvelle clé : Le nouveau CMK passe immédiatement à l'état actif. Le CMK précédemment actif passe en Rotation (état de rechiffrement), jusqu’à ce que tout votre contenu soit protégé par le nouveau CMK, après quoi Webex supprime le CMK précédemment actif.
  • Activer ultérieurement : Le nouveau CMK passe à l'état En attente. Webex conserve ce CMK dans le HSM, mais ne l’utilise pas encore. Webex continue d’utiliser le CMK actuellement actif pour chiffrer les clés de votre organisation.

Que faire ensuite

Nous ne rechiffrons pas rétroactivement tout le contenu existant. Une fois que vous aurez activé votre CMK, tous les nouveaux contenus (espaces et réunions) seront rechiffrés et protégés.
Faites pivoter votre clé
1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

3

Accédez à la CMK active.

4

Cliquez sur Menu Plus et sélectionnez Pivoter.

5

Créer et chiffrer une nouvelle clé (si vous ne l'avez pas encore fait).

Le processus est décrit dans Créer et activer la clé principale de votre client dans cet article.
6

Faites glisser la nouvelle clé à partir de votre système de fichiers et déposez-la dans Control Hub.

7

Cliquez sur Activer une nouvelle clé.

La nouvelle clé que vous avez chargée passe à l'état actif.

L'ancien CMK reste en Rotation (état de rechiffrement) jusqu'à ce que Webex ait terminé de chiffrer tout son contenu avec le nouveau CMK actif. Après le rechiffrement, la clé passe à l'état Retraité. Webex supprime ensuite l'ancien CMK.

Révoquer votre clé
1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

3

Accédez à la clé active.

4

Cliquez sur Menu Plus et sélectionnez Révoquer.

5

Confirmez la révocation de la clé.

Il peut y avoir jusqu’à 10 minutes pour révoquer complètement votre clé.
Réactiver votre clé révoquée
1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

3

Allez à la clé actuellement révoquée.

4

Cliquez sur Menu Plus et sélectionnez Activer.

5

Confirmez l’activation de la clé.

La clé précédemment révoquée passe à l'état actif.
Supprimer votre clé révoquée
1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

3

Allez à la clé révoquée.

4

Cliquez sur Menu Plus et sélectionnez Supprimer.

5

Confirmez la suppression de la clé.

Une fois supprimée, vous avez la possibilité de restaurer la clé dans les 30 jours.
Restaurer votre clé révoquée
1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

3

Accédez à la clé supprimée.

4

Cliquez sur Menu Plus et sélectionnez Restaurer.

5

Confirmez la restauration de la clé.

Une fois restaurée, le Control Hub vous montre la clé à l’état Révoqué avant qu’elle ne soit supprimée. Par exemple, si vous supprimez une clé révoquée et que vous la restaurez, le Control Hub affiche la clé restaurée à l’état révoqué.

Configuration requise

Propriété

En prenant la propriété de votre clé AWS KMS, vous devez :

  • Prenez la responsabilité de la création et de la sauvegarde sécurisées de vos clés AWS KMS.
  • Comprenez les implications de la perte de vos clés AWS KMS.
  • Rechiffrez votre clé AMS KMS active au moins une fois par an comme meilleure pratique.

Autorisation

  • Vous devez être autorisé à créer et gérer vos clés dans le KMS AWS pour votre organisation Webex.
  • Vous devez avoir accès à votre organisation Webex dans Control Hub. Vous devez être un administrateur complet pour gérer votre clé AWS KMS.
Créer une clé KMS AWS
1

Connectez-vous à AWS et allez à la console AWS KMS.

2

Sélectionnez Clés gérées par le client , puis cliquez sur Créer une clé.

3

Créez la clé avec les attributs suivants :

  • Type de clé—Sélectionnez Symétrique.
  • Utilisation des clés—Sélectionnez Chiffrer et déchiffrer.
  • Étiquettes : saisissez l'alias, la description et les balises.
  • Administrateurs clés—Sélectionnez les utilisateurs et les rôles d'administrateur clés de votre organisation.
  • Suppression de clé—Cochez Autoriser les administrateurs de clés à supprimer cette clé.
  • Utilisateurs clés—Sélectionnez les utilisateurs clés et les rôles de votre organisation.
4

Cliquez sur Suivant.

5

Vérifiez vos paramètres et cliquez sur Terminer.

Votre clé KMS AWS est créée.
6

Allez à Clés gérées par le client et cliquez sur l’alias ou l’ID de la clé pour afficher l’ARN.

Que faire ensuite

Nous vous recommandons de conserver une copie temporaire de l'ARN. Cet ARN est utilisé pour ajouter et activer votre clé KMS AWS dans Control Hub.

Autoriser Cisco KMS à accéder à la clé AWS KMS
1

Connectez-vous à AWS et allez à la console AWS CloudShell.

2

Lancez create-grant pour autoriser Webex en procédant comme suit :

aws kms create-grant \ --name {UNIQUE_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWS_KMS Key} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Par exemple : 
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
Le KMS_CISCO_USER_ARN est spécifique à votre organisation. L’ARN s’affiche dans la fenêtre Ajouter votre clé AWS lors de l’activation de votre nouvelle clé AWK KMS dans Control Hub.
Ajouter et activer votre clé KMS AWS

Avant de commencer

Vous devez créer une clé AWS KMS avant de l’activer dans Control Hub. Reportez-vous à Créer une clé AWS KMS dans cet article.

Vous devez fournir à Webex l’accès à la clé KMS AWS. Reportez-vous à Autoriser Cisco KMS à accéder à la clé AWS KMS dans cet article.

1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés et activez Bring Your Own Key (BYOK) .

Si vous désactivez BYOK, la clé commune par défaut Webex devient la clé principale de votre organisation.

3

Sélectionnez Ajouter la clé AWS KMS et cliquez sur Suivant.

4

Obtenez l’ARN à partir de la console AWS.

5

Saisissez l’ARN dans Control Hub et cliquez sur Ajouter.

L’ARN de votre clé est chargé dans le KMS de Cisco, où l’accès à la clé est validé. Control Hub vous indique ensuite l’ID de la clé Cisco KMS de votre nouvelle clé AWS KMS et l’ID de la clé Cisco KMS actuellement active, le cas échéant.

S’il s’agit de votre première clé AWS KMS, la clé actuellement active est la clé commune par défaut Webex (celle que nous utilisons actuellement pour chiffrer les clés de votre organisation).

6

Choisissez comment vous souhaitez activer votre clé :

  • Activer : La nouvelle clé KMS AWS passe immédiatement à l’état Actif.
  • Activer ultérieurement : La nouvelle clé KMS AWS passe à l’état En attente. Webex conserve cet ARN de clé KMS AWS dans le KMS Cisco, mais ne l’utilise pas encore. Webex continue d’utiliser la clé AWS KMS actuellement active pour chiffrer les clés de votre organisation.
Faites pivoter votre clé AWS KMS
1

Connectez-vous au Control Hub, puis allez dans Paramètres de l’organisation > Gestion des clés.

2

Allez à la clé AWS KMS active.

3

Cliquez sur Menu Plus et sélectionnez Pivoter.

4

Saisissez votre nouvelle clé KMS AWS et votre nouvel ARN et cliquez sur Ajouter.

Le processus est décrit dans Ajouter et activer votre clé AMS KMS dans cet article.
5

Cliquez sur Activer.

La nouvelle clé KMS AWS que vous avez chargée passe à l’état Actif.

L’ancienne clé AWS KMS reste à l’état Tournant jusqu’à ce que Webex ait terminé de chiffrer tout son contenu avec la nouvelle clé AWS KMS active. Après le rechiffrement, l’ancienne clé AWS KMS disparaît automatiquement du Control Hub.

Faites pivoter pour ajouter une autre clé AWS KMS (facultatif)
1

Connectez-vous au Control Hub, puis allez dans Paramètres de l’organisation > Gestion des clés.

2

Cliquez sur Ajouter une autre clé.

3

Saisissez votre nouvelle clé AWS KMS et cliquez sur Ajouter.

Control Hub vous montre l’ID de la clé Cisco KMS de votre nouvelle clé AWS KMS et l’ID de l’ID de la clé Cisco KMS actuellement active.

Le processus est décrit dans Ajouter et activer votre clé AMS KMS dans cet article.

4

Cliquez sur Activer.

La nouvelle clé KMS AWS que vous avez chargée passe à l’état Actif.

L’ancienne clé AWS KMS reste à l’état Tournant jusqu’à ce que Webex ait terminé de chiffrer tout son contenu avec la nouvelle clé AWS KMS active. Après le rechiffrement, l’ancienne clé AWS KMS disparaît automatiquement du Control Hub.

Révoquer votre clé KMS AWS
1

Connectez-vous au Control Hub, puis allez dans Paramètres de l’organisation > Gestion des clés.

2

Allez à la clé KMS AWS actuellement active.

3

Cliquez sur Menu Plus et sélectionnez Révoquer localement.

4

Confirmez la révocation de la clé.

Il peut y avoir jusqu’à 10 minutes pour révoquer complètement votre clé. La clé KMS AWS passe à l’état Localement révoqué.

Si l’administrateur de votre client révoque la clé à partir de la console AWS KMS, alors la clé AWS KMS est affichée dans l’état Révoqué par Amazon dans le Control Hub.

Supprimer votre clé KMS AWS
1

Connectez-vous au Control Hub, puis allez dans Paramètres de l’organisation > Gestion des clés.

2

Allez à la clé KMS AWS révoquée.

3

Cliquez sur Menu Plus et sélectionnez Supprimer.

4

Confirmez la suppression de la clé.

Une fois supprimée, vous pouvez récupérer la clé dans les 30 jours.

Nous vous recommandons de supprimer tout d’abord la clé KMS AWS du Control Hub avant de supprimer votre CMK de la console AWS. Si vous supprimez votre clé CMK de la console AWS avant de supprimer la clé AWS KMS dans Control Hub, vous risquez de rencontrer des problèmes.

Assurez-vous que la clé AWS KMS n’est plus visible dans le Control Hub avant de supprimer votre CMK de la console AWS.

Restaurer votre clé AWS KMS
1

Connectez-vous au Control Hub, puis allez dans Paramètres de l’organisation > Gestion des clés.

2

Allez à la clé KMS AWS supprimée.

3

Cliquez sur Menu Plus et sélectionnez Restaurer.

4

Confirmez la restauration de la clé.

Une fois restaurée, le Control Hub vous montre la clé à l’état révoqué.

Dépanner votre clé AWS KMS

Si vous rencontrez des problèmes avec votre clé AWS KMS, utilisez les informations suivantes pour la résoudre.

  • ARN de la clé KMS AWS. Par exemple, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Subventions sur la clé KMS AWS.

  • État de la clé KMS AWS. Par exemple, la clé AWS KMS est désactivée.

Exemple : Créer et chiffrer des clés avec OpenSSL

Cet exemple utilise la version 3.0 des outils de ligne de commande OpenSSL. Voir OpenSSL pour en savoir plus sur ces outils.

1

Connectez-vous au Control Hub.

2

Allez dans Paramètres de l’organisation > Gestion des clés.

3

Cliquez sur Télécharger la clé publique.

Vous obtenez la clé publique Webex HSM dans un fichier .pem sur votre système local.

4

Créer une clé 256 bits (32 octets) : openssl rand -out main_key.bin 32.

L'exemple utilise le nom de fichier main_key.bin pour votre nouvelle clé non chiffrée.

Sinon, vous pouvez générer une valeur aléatoire de 32 octets en utilisant le vidage Hex, Python ou des générateurs en ligne. Vous pouvez également créer et gérer votre clé AWS KMS.

5

Utilisez la clé publique Webex HSM pour chiffrer votre nouvelle clé :

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

L'exemple utilise le nom de fichier main_key_encrypted.bin pour la clé de sortie chiffrée et le nom de fichier path/to/public.pem pour la clé publique Webex.

La clé chiffrée est prête à être chargée dans Control Hub.

Articles connexes