נהל את המפתח הראשי של הלקוח שלך

על המפתחות הראשיים של הלקוח

כחלק מהמחויבות שלנו לאבטחה מקצה לקצה, Webex מחזיקה מפתח ראשי בשם כל ארגון. אנו קוראים לזה מפתח ראשי מכיוון שהוא לא מצפין תוכן ישירות, אבל הוא משמש להצפנת המפתחות האחרים של הארגון שלך שמצפינים את התוכן. רמת הבסיס של היררכיית המפתח נקראת מפתח התוכן (CK) ורמות הביניים של המפתחות נקראות מפתחות הצפנת מפתחות (KEK).

אנו מכירים בכך שארגונים מסוימים מעדיפים לנהל את האבטחה שלהם בעצמם, ולכן אנו נותנים לך את האפשרות לנהל את המפתח הראשי של הלקוח שלך (CMK). משמעות הדבר היא שאתה לוקח אחריות על יצירה וסיבוב (הצפנה מחדש) של המפתח הראשי שבו Webex משתמש כדי להצפין את מפתחות הצפנת התוכן שלך.

בהמשך, מפתח מתייחס ל-CMK אלא אם צוין אחרת.

איך זה עובד?

Webex שומר את ה-CMK שלך במודול אבטחת חומרה (HSM) כך Webex אין גישה לערך ה-CMK.
Control Hub מציג את ה-CMK הפעיל או שבוטל כעת וכל CMK בהמתנה המאוחסנים ב-HSM. כאשר עליך לסובב (להצפין מחדש) את ה-CMK, אתה יוצר את ה-CMK החדש שלך ומצפין אותו עם המפתח הציבורי של ה-HSM, כך שרק ה-HSM יוכל לפענח ולאחסן אותו.
לאחר מכן אתה מעלה ומפעיל את ה-CMK החדש ב-Control Hub. Webex מתחילה מיד להשתמש ב-CMK החדש להצפנת מפתחות התוכן שלך. Webex שומר על ה-CMK הישן, אבל רק עד שהוא בטוח שמפתחות הצפנת התוכן שלך מאובטחים על ידי ה-CMK החדש.

אנחנו לא מצפינים מחדש רטרואקטיבית את כל התוכן הקיים. לאחר הפעלת CMK, כל התוכן החדש (מרחבים ופגישות) מוצפן מחדש ומוגן.

אודות מפתחות AWS KMS

אנו מכירים בכך שכמה ארגונים מעדיפים לנהל את המפתח שלהם מחוץ ל-Webex. לכן אנחנו נותנים לך את האפשרות לנהל CMK משלך בשירות ניהול המפתחות של אמזון (AWS) (KMS). זה מרמז שאתה אחראי לניהול המפתחות שלך ב-AWS KMS. אתה מאשר ל-Webex להצפין ולפענח באמצעות מקש AWS KMS דרך מסוף AWS. אתה מספק ל-Webex את מזהה המפתח של AWS KMS במקום ה-CMK שלך. משמעות הדבר היא שאתה לוקח אחריות על יצירה וסיבוב (הצפנה מחדש) של מקש AWS KMS ש-Webex משתמש בו כדי להצפין את מפתחות הצפנת התוכן שלך בענן.

איך זה עובד?

אתה יוצר מפתח עם AWS. AWS KMS משמש לניהול המפתח שלך ואחסון המפתח במודול אבטחת חומרה (HSM).
אתה מספק ל-Webex גישה לשימוש במקש KMS של AWS דרך מסוף AWS.

המשמעות היא שבמקום להעלות את ה-CMK שלך ל-Control Hub, אתה מספק ל-Webex גישה למקש KMS של AWS. מפתח AWS KMS אינו משאיר את KMS של AWS ושירותי Webex שלך אין גישה לחומר המפתח של AWS KMS.

Control Hub מציג את מקש AWS KMS הפעיל או בוטל הנוכחי וכל מקש AWS KMS ממתין המאוחסן ב-AWS KMS. כאשר עליך לסובב את מקש AWS KMS, אתה יוצר את מקש AWS KMS החדש שלך עם מסוף AWS KMS.
לאחר מכן אתה מוסיף ומפעיל את מקש ה-KMS החדש של AWS ב-Control Hub, ומספק לו את שם המשאבים של Amazon (ARN) של מקש ה-KMS החדש של AWS. Webex מתחיל מיד להשתמש במקש AWS KMS החדש להצפנת מפתחות התוכן שלך. Webex לא דורש עוד את מקש ה-KMS של AWS הישן. מקש ה-KMS הישן של AWS ייעלם מ-Control Hub לאחר שמפתחות הצפנת התוכן שלך מסובבים ומאובטחים על-ידי מקש ה-KMS החדש של AWS. Webex לא מוחק את מקש ה-KMS של AWS מ-KMS של AWS. מנהל המערכת של הלקוח יכול להסיר את המפתח מה-KMS של AWS.

מצבי מפתח ומחזור חיים

מחזור חיים מפתח

הגדרות מפתח של מדינה

בהמתנה

מפתח במצב זה מאוחסן ב-HSM אך עדיין לא נעשה בו שימוש להצפנה. Webex לא משתמש ב-CMK הזה להצפנה.

רק מפתח אחד יכול להיות במצב זה.

פעיל

Webex משתמש כעת ב-CMK זה כדי להצפין מפתחות אחרים עבור הארגון שלך.

רק מפתח אחד יכול להיות במצב זה.

סיבוב

Webex משתמש באופן זמני ב-CMK זה. Webex זקוק לו כדי לפענח את הנתונים והמפתחות שלך שהוצפנו בעבר על ידי מפתח זה. מפתח זה מבוצע לאחר השלמת הסיבוב (הצפנה מחדש).

מספר מפתחות יכולים להיות במצב זה אם מפתח חדש מופעל לפני השלמת הסיבוב.

בדימוס

Webex לא משתמש ב-CMK הזה. מפתח זה אינו בשימוש עוד להצפנה. מוגדר זמן מפתח לחיים, ולאחר מכן מפתח זה מוסר מה-HSM.

בוטל

Webex לא משתמש ב-CMK הזה. גם אם יש נתונים ומפתחות שהוצפנו עם מפתח זה, Webex לא יכול להשתמש בו כדי לפענח את הנתונים והמפתחות.

אתה צריך לבטל מפתח פעיל רק אם אתה חושד שהוא נפרץ. זוהי החלטה רצינית מכיוון שהיא מונעת מפעולות רבות להתנהג כראוי. לדוגמה, לא תוכל ליצור חללים חדשים, ולא תוכל לפענח תוכן כלשהו ב- Webex Client.
רק מפתח אחד יכול להיות במצב זה. עליך להפעיל מחדש את המפתח הזה כדי לסובב (להצפין מחדש) מפתח חדש.
ניתן למחוק את ה-CMK הזה אבל לא צריך למחוק אותו. ייתכן שתרצה לשמור אותו עבור פענוח/הצפנה מחדש לאחר שתפתור את פריצת האבטחה החשודה.

נמחק

Webex לא משתמש ב-CMK הזה. ההתנהגות במצב זה זהה למצב ה-Revoked פרט לכך שהוגדר מפתח זמן-לחיים, ולאחר מכן מפתח זה מוסר מה-HSM.

אם CMK שנמחק מתקדם למצב הוסר, עליך לשחזר את המפתח המקורי כדי לשחזר את הפונקציונליות לארגון.

אנו ממליצים לשמור עותק גיבוי של המפתח המקורי שלך, אחרת הארגון שלך לא יפעל עוד.

הוסר

זהו מצב הגיוני. Webex אין את ה-CMK הזה מאוחסן ב-HSM. זה לא מוצג ב-Control Hub.

דרישות

בעלות

על ידי לקיחת בעלות על ה-CMK שלך, עליך:

קחו אחריות על יצירה מאובטחת וגבו את המפתחות שלכם
הבן את ההשלכות של אובדן המפתחות שלך
הצפן מחדש את ה-CMK הפעיל שלך לפחות פעם בשנה כפרקטיקה הטובה ביותר

יצירת מפתח

עליך ליצור CMK משלך באמצעות פרמטרים אלה. המפתח שלך חייב להיות:

אורך 256 ביטים (32 בתים).
מוצפן עם ערכת RSA-OAEP
מוצפן עם המפתח הציבורי של Webex ענן HSM

תוכנת יצירת המפתח שלך חייבת להיות מסוגלת:

פונקציית Hash SHA-256
פונקציית יצירת מסכות MGF1
ריפוד OAEP PKCS#1

עיין ב דוגמה: צור והצפין מפתחות עם OpenSSL בכרטיסייה משאבים במאמר זה.

הרשאה

חייבת להיות לך גישה לארגון ה- Webex שלך ב-Control Hub. אתה חייב להיות א מנהל מלא כדי לנהל את ה-CMK שלך.

צור והפעל את המפתח הראשי של הלקוח שלך

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח . כדי להפעיל את BYOK, החלף תביא מפתח משלך (BYOK) על. אם תשבית את BYOK, ה מפתח ברירת מחדל נפוץ של Webex הופך למפתח העיקרי עבור הארגון שלך.
3	בחר העלה מפתח מותאם אישית ולחץ על הבא.
4	לחץ הורד מפתח ציבורי . שמור את המפתח הציבורי של Webex HSM בקובץ .pem במערכת המקומית שלך.
5	צור מפתח אקראי מאובטח מבחינה קריפטוגרפית של 256 סיביות (32 בתים) באמצעות תוכנת ניהול המפתחות שלך.
6	השתמש במפתח הציבורי של Webex HSM כדי להצפין את המפתח החדש שלך. פרמטרי ההצפנה הנדרשים הם: ערכת RSA-OAEP פונקציית Hash SHA-256 פונקציית יצירת מסכות MGF1 ריפוד OAEP PKCS#1 עיין ב דוגמה: צור והצפין מפתחות עם OpenSSL בכרטיסייה משאבים במאמר זה.
7	גרור את המפתח המוצפן ממערכת הקבצים שלך ושחרר אותו באזור ההעלאה של ממשק Control Hub, או לחץ בחר קובץ .
8	לחץ על הבא. Webex מעלה את המפתח שלך ל-HSM, שם הוא מפוענח ומאומת. לאחר מכן Control Hub מראה לך את מזהה של ה-CMK החדש שלך, ואת מזהה של ה-CMK הפעיל כעת, אם בכלל. אם זהו ה-CMK הראשון שלך, המפתח הפעיל כעת הוא מפתח ברירת מחדל נפוץ של Webex (זה שאנו משתמשים כעת להצפנת המפתחות של הארגון שלך).
9	בחר כיצד תרצה להפעיל את המפתח שלך: הפעל מפתח חדש : ה-CMK החדש נכנס מיד למצב פעיל. ה-CMK הפעיל בעבר נכנס לסיבוב (מצב הצפנה מחדש), עד שכל התוכן שלך מוגן על-ידי ה-CMK החדש, שלאחריו Webex מוחק את ה-CMK הפעיל בעבר. הפעל מאוחר יותר : ה-CMK החדש עובר למצב המתנה. Webex שומר את ה-CMK הזה ב-HSM, אך אינו משתמש בו עדיין. Webex ממשיכה להשתמש ב-CMK הפעיל כעת להצפנת המפתחות של הארגון שלך.

מה הלאה?

אנחנו לא מצפינים מחדש רטרואקטיבית את כל התוכן הקיים. לאחר שתפעיל את ה-CMK שלך, כל התוכן החדש (מרחבים ופגישות) יוצפן מחדש ויגן מחדש.

סובב את המפתח שלך

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח .
3	עבור אל CMK הפעיל.
4	לחצו על ובחרו באפשרות Rotate.
5	צור והצפין מפתח חדש (אם עדיין לא עשית זאת). התהליך מתואר ב צור והפעל את המפתח הראשי של הלקוח שלך במאמר זה.
6	גרור את המפתח החדש ממערכת הקבצים שלך ושחרר אותו ב-Control Hub.
7	לחץ הפעל מפתח חדש . המפתח החדש שהעלית עובר למצב פעיל. ה-CMK הישן נשאר ברוטציה (הצפנה מחדש) עד ש-Webex יסיים להצפין את כל התוכן שלו עם ה-CMK הפעיל החדש. לאחר ההצפנה מחדש, המפתח עובר למצב בדימוס. לאחר מכן Webex מוחק את ה-CMK הישן.

שלל את המפתח שלך

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח .
3	עבור אל המפתח הפעיל.
4	הקישו ובחרו באפשרות Revoke.
5	אשר את ביטול המפתח. זה יכול עד 10 דקות לשלול לגמרי את המפתח שלך.

הפעל מחדש את המפתח שבוטל

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח .
3	עבור אל המקש שבוטל כעת.
4	לחצו על ובחרו ב-Activate.
5	אשר את הפעלת המפתח. המפתח שבוטל בעבר עובר למצב פעיל.

מחק את המפתח שבוטל

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח .
3	עבור אל המפתח שבוטל.
4	לחצו על ובחרו ב-Delete.
5	אשר את מחיקת המפתח. לאחר מחיקת, יש לך אפשרות לשחזר את המפתח תוך 30 יום.

שחזר את המפתח שבוטל

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח .
3	עבור אל המפתח שנמחק.
4	לחצו על ובחרו ב-Undelete.
5	אשר את שחזור המפתח. לאחר ששוחזר, Control Hub מציג לך את המפתח במצב שבוטל לפני שהוא נמחק. לדוגמה, אם תמחק מפתח שבוטל ולאחר מכן תחזיר את המפתח, Control Hub יציג את המפתח המשוחזר במצב שבוטל.

דרישות

בעלות

על ידי לקיחת בעלות על מפתח AWS KMS שלך, אתה חייב:

קח אחריות על היצירה המאובטחת וגבה את מפתחות ה-KMS של AWS שלך.
להבין את ההשלכות של אובדן מפתחות AWS KMS שלך.
הצפן מחדש את מפתח AMS KMS הפעיל שלך לפחות פעם בשנה כפרקטיקה הטובה ביותר.

הרשאה

עליך להיות מורשה ליצור ולנהל את המפתחות שלך ב-AWS KMS עבור ארגון Webex שלך.
חייבת להיות לך גישה לארגון ה- Webex שלך ב-Control Hub. עליך להיות מנהל מערכת מלא כדי לנהל את מפתח AWS KMS.

צור מפתח AWS KMS

1	היכנס אל AWS ועבור אל קונסולת AWS KMS.
2	בחר מקשים מנוהלים של לקוח ולאחר מכן לחץ על צור מפתח.
3	צור את המפתח באמצעות התכונות הבאות: סוג מפתח - בחר סימטרי. שימוש במפתח - בחר הצפן ופענח. תוויות-הזן את הכינוי, התיאור והתגיות. מנהלי מערכת מרכזיים - בחר את המשתמשים והתפקידים של מנהל המערכת של הארגון שלך. מחיקת מפתח – בדוק אפשר למנהלי מערכת מפתחות למחוק מפתח זה. משתמשי מפתח - בחר את משתמשי המפתח והתפקידים של הארגון שלך.
4	לחץ על הבא.
5	סקור את ההגדרות ולחץ על סיום. מפתח AWS KMS שלך נוצר.
6	עבור אל מקשים המנוהלים של הלקוח ולחץ על 'כינוי' או על מזהה המפתח' כדי להציג את ARN.

מה הלאה?

מומלץ לשמור עותק זמני של ARN. ARN זה משמש להוספה והפעלה של מפתח AWS KMS ב-Control Hub.

אשר ל-Cisco KMS עם גישה למקש AWS KMS

היכנס אל AWS ועבור אל קונסולת ה-CloudShell של AWS.

הפעל create-grant כדי לאשר את Webex באופן הבא:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

לדוגמה:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

הפגישה ב- KMS_CISCO_USER_ARN הוא ספציפי לארגון שלך. ה-ARN מוצג בחלון מקש AWS שלך בעת הפעלת מקש ה-KMS החדש שלך ב-Control Hub.

הוסף והפעל את מקש AWS KMS

לפני שתתחיל

עליך ליצור מפתח AWS KMS לפני הפעלת אותו ב-Control Hub. עיין ביצירת מפתח AWS KMS במאמר זה.

עליך לספק ל-Webex גישה למקש KMS של AWS. עיין בהרשאה ל-Cisco KMS עם גישה למפתח AWS KMS במאמר זה.

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתחות, והפעל את האפשרות 'הבא את המפתח שלך' (BYOK) . אם תשבית את BYOK, ה מפתח ברירת מחדל נפוץ של Webex הופך למפתח העיקרי עבור הארגון שלך.
3	בחר הוסף מפתח KMS של AWS ולחץ על הבא.
4	קבל את ARN מהקונסולה AWS.
5	הזן את ARN ב-Control Hub ולחץ על הוסף. המפתח שלך ARN מועלה ל-Cisco KMS, שבו הגישה למפתח מאומתת. לאחר מכן Control Hub מציג לך את מזהה המקש של Cisco KMS של מפתח KMS החדש שלך, ומזהה המקש של Cisco KMS הפעיל כעת, אם קיים. אם זהו מקש AWS KMS הראשון שלך, המפתח הפעיל כעת הוא מקש ברירת המחדל המשותף של Webex (זה שבו אנו משתמשים כעת להצפין את מפתחות הארגון שלך).
6	בחר כיצד תרצה להפעיל את המפתח שלך: הפעל: מקש ה־ KMS החדש נכנס מיד למצב פעיל. הפעל מאוחר יותר : המפתח החדש של AWS KMS עובר למצב הממתין. Webex שומר על מקש ARN זה של AWS KMS ב-Cisco KMS, אך עדיין לא משתמש בו. Webex ממשיך להשתמש במקש AWS KMS הפעיל כעת להצפין את מפתחות הארגון.

סובב את מקש ה־ KMS של AWS

1	היכנס ל-Control Hub, ועבור אל הגדרות ארגון > ניהול מפתחות.
2	עבור אל מקש AWS KMS פעיל.
3	לחצו על ובחרו באפשרות Rotate.
4	הזן את מפתח ה-AWS KMS החדש שלך ואת ARN חדש, ולחץ על הוסף. התהליך מתואר ב-הוסף והפעל את מקש ה-AMS KMS במאמר זה.
5	לחץ על הפעל. מקש ה־ KMS החדש שהעלית עובר למצב פעיל. מקש ה-KMS הישן של AWS נשאר במצב מסתובב עד ש-Webex יסיים להצפין את כל התוכן שלו עם מקש ה-KMS החדש של AWS. לאחר הצפנה מחדש, מקש AWS KMS הישן נעלם אוטומטית מ-Control Hub.

סובב כדי להוסיף מקש KMS של AWS אחר (אופציונלי)

1	היכנס ל-Control Hub, ועבור אל הגדרות ארגון > ניהול מפתחות.
2	לחץ על הוסף מפתח אחר.
3	הזן את מפתח ה-KMS החדש של AWS ולחץ על הוסף. Control Hub מציג לך את מזהה המקש של Cisco KMS של מפתח KMS החדש שלך, ואת המזהה של מזהה המקש של Cisco KMS הפעיל כעת. התהליך מתואר ב-הוסף והפעל את מקש ה-AMS KMS במאמר זה.
4	לחץ על הפעל. מקש ה־ KMS החדש שהעלית עובר למצב פעיל. מקש ה-KMS הישן של AWS נשאר במצב מסתובב עד ש-Webex יסיים להצפין את כל התוכן שלו עם מקש ה-KMS החדש של AWS. לאחר הצפנה מחדש, מקש AWS KMS הישן נעלם אוטומטית מ-Control Hub.

שלול את מפתח AWS KMS שלך

1	היכנס ל-Control Hub, ועבור אל הגדרות ארגון > ניהול מפתחות.
2	עבור אל מקש AWS KMS הפעיל כעת.
3	הקישו ובחרו באפשרות שליחה מקומית.
4	אשר את ביטול המפתח. זה יכול עד 10 דקות לשלול לגמרי את המפתח שלך. מפתח AWS KMS נכנס למצב שבוטל באופן מקומי.

אם מנהל המערכת של הלקוח מפעיל את המפתח ממסוף AWS KMS, מפתח AWS KMS מוצג במצב שבוטל על-ידי Amazon ב-Control Hub.

מחק את מפתח AWS KMS

1	היכנס ל-Control Hub, ועבור אל הגדרות ארגון > ניהול מפתחות.
2	עבור אל מקש AWS KMS שבוטל.
3	לחצו על ובחרו ב-Delete.
4	אשר את מחיקת המפתח. לאחר שנמחק, תוכל לשחזר את המפתח תוך 30 יום.

מומלץ תחילה למחוק תחילה את מקש AWS KMS מ-Control Hub לפני מחיקת ה-CMK שלך ממסוף AWS. אם תמחק את ה-CMK שלך ממסוף AWS לפני שתמחק את מקש ה-KMS של AWS ב-Control Hub, ייתכן שתיתקל בבעיות.

ודא שמפתח ה-KMS של AWS כבר לא נראה ב-Control Hub לפני מחיקת ה-CMK שלך ממסוף AWS.

שחזר את מפתח AWS KMS שלך

1	היכנס ל-Control Hub, ועבור אל הגדרות ארגון > ניהול מפתחות.
2	עבור אל מקש AWS KMS שנמחק.
3	לחצו על ובחרו ב-Undelete.
4	אשר את שחזור המפתח. לאחר ששוחזר, Control Hub מציג לך את המפתח במצב שבוטל.

פתרון בעיות במקש AWS KMS

אם אתה נתקל בבעיות עם מפתח AWS KMS, השתמש במידע הבא כדי לפתור בעיות.

AWS KMS key ARN. לדוגמה, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
מענק על מקש AWS KMS.
מצב מפתח של AWS KMS. לדוגמה, מקש AWS KMS מושבת.

דוגמה: צור והצפין מפתחות עם OpenSSL

דוגמה זו משתמשת בגרסה 3.0 של כלי שורת הפקודה OpenSSL. ראה OpenSSL למידע נוסף על כלים אלו.

1	היכנס אל רכזת בקרה .
2	עבור אל הגדרות ארגון > ניהול מפתח .
3	לחץ הורד מפתח ציבורי . אתה מקבל את המפתח הציבורי של Webex HSM בקובץ .pem במערכת המקומית שלך.
4	צור מפתח של 256 סיביות (32 בתים): `openssl rand 32 -out main_key.bin` הדוגמה משתמשת בשם הקובץmain_key .bin עבור המפתח החדש הלא מוצפן שלך.
5	השתמש במפתח הציבורי של Webex HSM כדי להצפין את המפתח החדש שלך: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` הדוגמה משתמשת בשם הקובץmain_key_encrypted .bin עבור מפתח הפלט המוצפן, ושם הקובץ path/to/public.pem עבור המפתח הציבורי של Webex . המפתח המוצפן מוכן להעלאה ל-Control Hub.