נהל את המפתח הראשי של הלקוח שלך
כחלק מהמחויבות שלנו לאבטחה מקצה לקצה, Webex מחזיק מפתח ראשי בשם כל ארגון. אנחנו קוראים לו מפתח ראשי מכיוון שהוא לא מצפין תוכן ישירות, אבל הוא משמש להצפנת המפתחות האחרים של הארגון שלך שמצפינים את התוכן. רמת הבסיס של היררכית המפתח נקראת מפתח התוכן (CK) ורמות הביניים של המפתחות נקראות מפתחות הצפנת מפתח (KEK).
אנו מכירים בכך שארגונים מסוימים מעדיפים לנהל את האבטחה שלהם, ולכן אנו נותנים לך את האפשרות לנהל את המפתח הראשי של הלקוח שלך (CMK). משמעות הדבר היא שאתה לוקח אחריות על יצירה וסיבוב (הצפנה מחדש) של המפתח הראשי שבו Webex משתמש כדי להצפין את מפתחות ההצפנת התוכן שלך.
בהמשך, מפתח מתייחס ל-CMK אלא אם צוין אחרת.
איך זה עובד
-
Webex שומר את ה-CMK שלך במודול אבטחת חומרה (HSM) כך שלשירותי Webex לא תהיה גישה לערך ה-CMK.
-
Control Hub מציג את ה-CMK הפעיל או המבוטל כעת ואת ה-CMK הממתין המאוחסן ב-HSM. כאשר עליך לסובב (להצפין מחדש) את ה-CMK, עליך ליצור את ה-CMK החדש שלך ולהצפין אותו עם המפתח הציבורי של HSM, כך שרק ה-HSM יוכל לפענח ולאחסן אותו.
-
לאחר מכן העלה והפעל את ה-CMK החדש ב-Control Hub. Webex מתחיל מיד להשתמש ב-CMK החדש להצפנת מפתחות התוכן שלך. Webex שומר על ה-CMK הישן, אבל רק עד שהוא יהיה בטוח שמפתחות הצפנת התוכן שלך מאובטחים על-ידי ה-CMK החדש.
אנו מכירים בכך שארגונים מסוימים מעדיפים לנהל את המפתח שלהם מחוץ ל-Webex. זו הסיבה שאנו נותנים לך את האפשרות לנהל את CMK משלך ב-AWS Key Management Service (KMS) של Amazon Web Services. זה מרמז שאתה אחראי לניהול המפתחות שלך ב-AWS KMS. אתה מאשר ל-Webex להצפין ולפענח באמצעות מפתח AWS KMS שלך דרך מסוף AWS. אתה מספק ל-Webex את מזהה המפתח של AWS KMS במקום ה-CMK שלך. משמעות הדבר היא שאתה לוקח אחריות על יצירה וסיבוב (הצפנה מחדש) של מפתח AWS KMS שבו Webex משתמש כדי להצפין את מפתחות הצפנת התוכן שלך בענן.
איך זה עובד
-
אתה יוצר מפתח עם AWS. ה-AWS KMS משמש לניהול המפתח שלך ומאחסן את המפתח במודול אבטחת חומרה (HSM).
-
אתה מספק ל-Webex גישה לשימוש במקש AWS KMS דרך מסוף AWS.
משמעות הדבר היא שבמקום להעלות את CMK שלך אל Control Hub, אתה מספק ל-Webex גישה למפתח AWS KMS. מפתח AWS KMS לא עוזב את AWS KMS שלך ולשירותי Webex אין גישה לחומר מפתח AWS KMS.
Control Hub מציג את מפתח AWS KMS הפעיל או בוטל כעת ואת כל מפתח AWS KMS הממתין המאוחסן ב-AWS KMS. כאשר עליך לסובב את מפתח AWS KMS, עליך ליצור את מפתח AWS KMS החדש שלך עם מסוף AWS KMS.
-
לאחר מכן אתה מוסיף ומפעיל את מפתח AWS KMS החדש ב-Control Hub, ומספק לו את שם המשאב של Amazon (ARN) של מפתח AWS KMS החדש. Webex מתחיל מיד להשתמש במפתח AWS KMS החדש להצפנת מפתחות התוכן שלך. Webex כבר לא דורש את מפתח AWS KMS הישן. מפתח AWS KMS הישן ייעלם מ-Control Hub לאחר שמפתחות ההצפנת התוכן שלך יסובבו ויאובטחו על-ידי מפתח AWS KMS החדש. Webex לא מוחק את מפתח AWS KMS מ-AWS KMS. מנהל המערכת של הלקוח יכול להסיר את המפתח מ-AWS KMS.
מחזור חיים של מפתח
הגדרות מצב מפתח
- בהמתנה
-
מפתח במצב זה מאוחסן ב-HSM אך עדיין לא משמש להצפנה. Webex לא משתמש ב-CMK הזה להצפנה.
רק מפתח אחד יכול להיות במצב הזה. - פעיל
-
Webex משתמש כעת ב-CMK הזה כדי להצפין מפתחות אחרים עבור הארגון שלך.
רק מפתח אחד יכול להיות במצב הזה. - סיבוב
-
Webex משתמש באופן זמני ב-CMK הזה. Webex זקוק לפענוח הנתונים והמפתחות שלך שהוצפנו בעבר על-ידי מפתח זה. מפתח זה יוצא משימוש כאשר הסיבוב (הצפנה מחדש) הושלם.
מקשים מרובים יכולים להיות במצב זה אם מפתח חדש מופעל לפני השלמת הסיבוב. - הוצא משימוש
-
Webex לא משתמש ב-CMK הזה. מפתח זה כבר לא משמש להצפנה. מוגדר זמן-חיים של מפתח, ולאחר מכן מפתח זה מוסר מה-HSM.
- בוטל
-
Webex לא משתמש ב-CMK הזה. גם אם יש נתונים ומפתחות שהוצפנו באמצעות מפתח זה, Webex לא יכול להשתמש בו כדי לפענח את הנתונים והמפתחות.
- עליך לבטל מפתח פעיל רק אם אתה חושד שהוא נדבק. זוהי החלטה רצינית כי היא מונעת מפעולות רבות להתנהג כראוי. לדוגמה, לא תוכל ליצור מרחבים חדשים, ולא תוכל לפענח תוכן כלשהו בלקוח Webex.
- רק מפתח אחד יכול להיות במצב הזה. עליך להפעיל מחדש מפתח זה כדי לסובב (להצפין מחדש) מפתח חדש.
- ניתן למחוק את ה-CMK הזה, אך אין צורך למחוק אותו. ייתכן שתרצה לשמור אותו לפענוח / הצפנה מחדש לאחר שתפתור את הפרת האבטחה החשודה.
- נמחק
-
Webex לא משתמש ב-CMK הזה. ההתנהגות במצב זה זהה למצב המבוטל, פרט לכך שמוגדרת שעת חיים של מפתח, ולאחר מכן מפתח זה מוסר מה-HSM.
- אם CMK שנמחק מתקדם למצב שהוסר, עליך לשחזר את המפתח המקורי כדי לשחזר את הפונקציונליות בארגון.
- מומלץ לשמור עותק גיבוי של המפתח המקורי שלך, אחרת הארגון שלך כבר לא יהיה פעיל.
- הוסר
-
זהו מצב לוגי. ל-Webex אין את ה-CMK הזה המאוחסן ב-HSM. הוא לא מוצג ב-Control Hub.
בעלות
על ידי לקיחת בעלות על ה-CMK שלך, עליך:
- קח אחריות על יצירה מאובטחת וגבות של המפתחות שלך
- להבין את ההשלכות של אובדן המפתחות שלך
- הצפן מחדש את ה-CMK הפעיל שלך לפחות פעם בשנה כשיטה הטובה ביותר
יצירת מפתח
עליך ליצור CMK משלך באמצעות פרמטרים אלה. המפתח חייב להיות:
- אורך 256 סיביות (32 בתים)
- מוצפן עם סכמת RSA-OAEP
- מוצפן עם המפתח הציבורי של ענן Webex HSM
תוכנת יצירת המפתח חייבת להיות מסוגלת:
- פונקציית hash SHA-256
- פונקציית יצירת מסכת MGF1
- ריפוד PKCS#1 OAEP
עיין בדוגמה: צור והצפן מפתחות עם OpenSSL בלשונית 'משאבים' במאמר זה.
הרשאה
חייבת להיות לך גישה לארגון Webex שלך ב-Control Hub. עליך להיות מנהל מערכת מלא כדי לנהל את CMK שלך.
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל .כדי להפעיל את BYOK, הפעל את האפשרות הבא את המפתח שלך (BYOK) . אם תשבית את BYOK, מפתח ברירת המחדל המשותף של Webex יהפוך למפתח הראשי עבור הארגון שלך. |
3 |
בחר העלה מפתח מותאם אישית ולחץ על הבא. |
4 |
לחץ על הורד מפתח ציבורי. שמור את המפתח הציבורי של Webex HSM בקובץ .pem במערכת המקומית שלך. |
5 |
צור מפתח אקראי מאובטח בצורה מוצפנת (32 בתים) באמצעות תוכנת ניהול המפתחות שלך. |
6 |
השתמש במפתח הציבורי של Webex HSM כדי להצפין את המפתח החדש שלך. פרמטרי ההצפנה הנדרשים הם:
עיין בדוגמה: צור והצפן מפתחות עם OpenSSL בלשונית 'משאבים' במאמר זה.
|
7 |
גרור את המפתח המוצפן ממערכת הקבצים ושחרר אותו באזור ההעלאה של ממשק Control Hub, או לחץ על בחר קובץ. |
8 |
לחץ על הבא. Webex מעלה את המפתח שלך ל-HSM, שם הוא מפוענח ומאומת. לאחר מכן, Control Hub מציג לך את המזהה של ה-CMK החדש שלך, ואת המזהה של ה-CMK הפעיל כעת, אם קיים. אם זהו ה-CMK הראשון שלך, המפתח הפעיל כעת הוא מפתח ברירת המחדל המשותף של Webex (זה שבו אנו משתמשים כעת להצפנת מפתחות הארגון שלך). |
9 |
בחר כיצד ברצונך להפעיל את המפתח שלך:
|
מה הלאה?
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל . |
3 |
עבור אל ה-CMK הפעיל. |
4 |
לחץ על ובחר סובב. |
5 |
צור והצפן מפתח חדש (אם עדיין לא עשית זאת). התהליך מתואר במאמר זה בצור והפעל את המפתח הראשי של הלקוח שלך .
|
6 |
גרור את המפתח החדש ממערכת הקבצים ושחרר אותו ב-Control Hub. |
7 |
לחץ על הפעל מפתח חדש. המפתח החדש שהעלית נכנס למצב פעיל. ה-CMK הישן נשאר ברוטציה (מצב הצפנה מחדש) עד ש-Webex יסיים להצפין את כל התוכן שלו עם ה-CMK הפעיל החדש. לאחר ההצפנה מחדש, המפתח עובר למצב שפרש. לאחר מכן, Webex מוחק את ה-CMK הישן. |
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל . |
3 |
עבור למפתח הפעיל. |
4 |
לחץ על ובחר בטל. |
5 |
אשר את ביטול המפתח. יש לך עד 10 דקות לשלול את המפתח שלך באופן מלא.
|
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל . |
3 |
עבור למפתח המבוטל כעת. |
4 |
לחץ על ובחר הפעל. |
5 |
אשר את הפעלת המפתח. המפתח שבוטל בעבר נכנס למצב פעיל.
|
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל . |
3 |
עבור אל המפתח שבוטל. |
4 |
לחץ על ובחר מחק. |
5 |
אשר את מחיקת המפתח. לאחר המחיקה, תוכל לשחזר את המפתח תוך 30 יום.
|
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל . |
3 |
עבור אל המפתח שנמחק. |
4 |
לחץ על ובחר בטל מחיקה. |
5 |
אשר את שחזור המפתח. לאחר ששוחזר, Control Hub מציג לך את המפתח במצב 'מבוטל' לפני שהוא נמחק. לדוגמה, אם תמחק מפתח שבוטל ולאחר מכן תחזיר את המפתח, Control Hub יציג את המפתח המשוחזר במצב שבוטל.
|
בעלות
על-ידי לקיחת בעלות על מפתח AWS KMS שלך, עליך:
- קח אחריות על היצירה המאובטחת וגיבוי מפתחות AWS KMS שלך.
- להבין את ההשלכות של אובדן מפתחות AWS KMS שלך.
- הצפן מחדש את מפתח ה-AMS KMS הפעיל שלך לפחות פעם בשנה כשיטה מיטבית.
הרשאה
- עליך להיות מורשה ליצור ולנהל את המפתחות שלך ב-AWS KMS עבור ארגון Webex שלך.
- חייבת להיות לך גישה לארגון Webex שלך ב-Control Hub. עליך להיות מנהל מערכת מלא כדי לנהל את מפתח AWS KMS שלך.
1 |
היכנס אל AWS ועבור אל מסוף AWS KMS. |
2 |
בחר מפתחות מנוהלים של לקוח ולאחר מכן לחץ על צור מפתח. |
3 |
צור את המפתח עם התכונות הבאות:
|
4 |
לחץ על הבא. |
5 |
סקור את ההגדרות ולחץ על סיום. מפתח AWS KMS שלך נוצר.
|
6 |
עבור אל מפתחות מנוהלים של לקוח ולחץ על הכינוי או על מזהה המפתח כדי להציג את ה-ARN. |
מה הלאה?
מומלץ לשמור עותק זמני של ה-ARN. ARN זה משמש להוספה והפעלה של מפתח AWS KMS שלך ב-Control Hub.
1 |
היכנס ל-AWS ועבור אל מסוף AWS CloudShell. |
2 |
הפעל את לדוגמה: ה-ARN של המשתמש KMS_CISCO__USER ספציפי לארגון שלך. ה-ARN מוצג בחלון הוספת מפתח AWS בעת הפעלת מפתח AWK KMS החדש שלך ב-Control Hub. |
לפני שתתחיל
עליך ליצור מפתח AWS KMS לפני שתפעיל אותו ב-Control Hub. עיין בצור מפתח AWS KMS במאמר זה.
עליך לספק ל-Webex גישה למפתח AWS KMS. ראה אשר ל-Cisco KMS עם גישה למפתח AWS KMS במאמר זה.
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל הבא את המפתח שלך (BYOK) . והפעל את האפשרותאם תשבית את BYOK, מפתח ברירת המחדל המשותף של Webex יהפוך למפתח הראשי עבור הארגון שלך. |
3 |
בחר הוסף מקש AWS KMS ולחץ על הבא. |
4 |
השג את ה-ARN ממסוף AWS. |
5 |
הזן את ה-ARN ב-Control Hub ולחץ על הוסף. ה-ARN של המפתח שלך הועלה ל-Cisco KMS, כאשר הגישה למפתח מאומתת. לאחר מכן, Control Hub מציג לך את מזהה המפתח של Cisco KMS של מפתח AWS KMS החדש שלך, ואת מזהה המפתח של Cisco KMS הפעיל כעת, אם קיים. אם זהו מפתח AWS KMS הראשון שלך, המפתח הפעיל כעת הוא מפתח ברירת המחדל המשותף של Webex (זה שבו אנו משתמשים כעת להצפנת מפתחות הארגון שלך). |
6 |
בחר כיצד ברצונך להפעיל את המפתח שלך:
|
1 |
היכנס אל Control Hub ועבור אל . |
2 |
עבור למפתח AWS KMS הפעיל. |
3 |
לחץ על ובחר סובב. |
4 |
הזן את מפתח AWS KMS ו-ARN החדש שלך ולחץ על הוסף. התהליך מתואר במאמר זה בהוסף והפעל את מפתח AMS KMS שלך .
|
5 |
לחץ על הפעל. מפתח AWS KMS החדש שהעלית נכנס למצב פעיל. מפתח AWS KMS הישן נשאר במצב הסיבוב עד ש-Webex יסיים להצפין את כל התוכן שלו עם מפתח AWS KMS פעיל החדש. לאחר הצפנה מחדש, מפתח AWS KMS הישן נעלם באופן אוטומטי מ-Control Hub. |
1 |
היכנס אל Control Hub ועבור אל . |
2 |
לחץ על הוסף מפתח אחר. |
3 |
הזן את מפתח AWS KMS החדש שלך ולחץ על הוסף. Control Hub מציג לך את מזהה המפתח של Cisco KMS של מפתח AWS KMS החדש שלך, ואת המזהה של מזהה המפתח של Cisco KMS הפעיל כעת. התהליך מתואר במאמר זה בהוסף והפעל את מפתח AMS KMS שלך . |
4 |
לחץ על הפעל. מפתח AWS KMS החדש שהעלית נכנס למצב פעיל. מפתח AWS KMS הישן נשאר במצב הסיבוב עד ש-Webex יסיים להצפין את כל התוכן שלו עם מפתח AWS KMS פעיל החדש. לאחר הצפנה מחדש, מפתח AWS KMS הישן נעלם באופן אוטומטי מ-Control Hub. |
1 |
היכנס אל Control Hub ועבור אל . |
2 |
עבור למפתח AWS KMS הפעיל כעת. |
3 |
לחץ על ובחר בטל באופן מקומי. |
4 |
אשר את ביטול המפתח. יש לך עד 10 דקות לשלול את המפתח שלך באופן מלא. מפתח AWS KMS נכנס למצב שבוטל באופן מקומי.
|
אם מנהל המערכת של הלקוח שלך מבטל את המפתח ממסוף AWS KMS, מפתח AWS KMS מוצג במצב 'בוטל על-ידי Amazon' ב-Control Hub.
1 |
היכנס אל Control Hub ועבור אל . |
2 |
עבור למפתח AWS KMS שבוטל. |
3 |
לחץ על ובחר מחק. |
4 |
אשר את מחיקת המפתח. לאחר המחיקה, תוכל לשחזר את המפתח תוך 30 יום. |
מומלץ למחוק תחילה את מפתח AWS KMS מ-Control Hub לפני מחיקת ה-CMK שלך ממסוף AWS. אם תמחק את ה-CMK שלך ממסוף AWS לפני מחיקת מפתח AWS KMS ב-Control Hub, ייתכן שתיתקל בבעיות.
ודא שמקש AWS KMS אינו גלוי עוד ב-Control Hub לפני מחיקת ה-CMK שלך ממסוף AWS.
1 |
היכנס אל Control Hub ועבור אל . |
2 |
עבור למפתח AWS KMS שנמחק. |
3 |
לחץ על ובחר בטל מחיקה. |
4 |
אשר את שחזור המפתח. לאחר שחזור, Control Hub מציג לך את המפתח במצב 'מבוטל'. |
אם תיתקל בבעיות עם מפתח AWS KMS שלך, השתמש במידע הבא כדי לפתור בעיות.
-
ARN מפתח AWS KMS. לדוגמה,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
. -
מצב מפתח של AWS KMS. לדוגמה, מפתח AWS KMS מושבת.
דוגמה זו משתמשת בגרסה 3.0 של כלי שורת הפקודה OpenSSL. ראה OpenSSL לקבלת מידע נוסף על כלים אלה.
1 |
היכנס למרכז הבקרה. |
2 |
עבור אל . |
3 |
לחץ על הורד מפתח ציבורי. אתה מקבל את המפתח הציבורי של Webex HSM בקובץ .pem במערכת המקומית שלך. |
4 |
צור מפתח 256 סיביות (32 בתים): הדוגמה משתמשת בשם הקובץ main_key.bin עבור המפתח החדש הלא מוצפן שלך. לחלופין, ניתן ליצור ערך אקראי של 32 בתים באמצעות dump hex, פייתון או גנרטורים מקוונים. באפשרותך גם ליצור ולנהל את מפתח AWS KMS שלך. |
5 |
השתמש במפתח הציבורי של Webex HSM כדי להצפין את המפתח החדש שלך: הדוגמה משתמשת בשם filename main_key_encrypted.bin עבור מפתח הפלט המוצפן, ושם הקובץ path/to/public.pem עבור המפתח הציבורי של Webex. המפתח המוצפן מוכן להעלאה אל Control Hub. |