Hvala na povratnim informacijama.
Upravljajte vlastitim glavnim ključem kupca
Želite li poslati povratne informacije?Ova značajka nije podržana za Webex for Government.
Kao dio naše predanosti end-to-end sigurnosti, Webex drži glavni ključ u ime svake organizacije. Nazivamo ga glavnim ključem jer ne šifrira sadržaj izravno, već se koristi za šifriranje ostalih ključeva vaše organizacije koji šifriraju sadržaj. Osnovna razina hijerarhije ključeva naziva se ključ sadržaja (CK), a međurazine ključeva nazivaju se ključevi za šifriranje ključeva (KEK).
Razumijemo da neke organizacije preferiraju vlastito upravljanje sigurnošću, stoga vam dajemo mogućnost upravljanja vlastitim glavnim ključem korisnika (CMK). To znači da preuzimate odgovornost za stvaranje i rotiranje (ponovno šifriranje) glavnog ključa koji Webex koristi za šifriranje ključeva za šifriranje vašeg sadržaja.
Ubuduće se ključ odnosi na CMK osim ako nije drugačije navedeno.
Kako to funkcionira
-
Webex čuva vaš CMK u hardverskom sigurnosnom modulu (HSM) tako da Webex usluge nemaju pristup CMK vrijednosti.
-
Control Hub prikazuje vaš trenutno aktivni ili opozvani CMK i sve CMK-ove na čekanju koji su pohranjeni u HSM-u. Kada trebate rotirati (ponovno šifrirati) CMK, generirate svoj novi CMK i šifrirate ga javnim ključem HSM-a, tako da ga samo HSM može dešifrirati i pohraniti.
-
Zatim prenesete i aktivirate novi CMK u Control Hubu. Webex odmah počinje koristiti novi CMK za šifriranje ključeva vašeg sadržaja. Webex zadržava stari CMK, ali samo dok ne bude siguran da su vaši ključevi za šifriranje sadržaja zaštićeni novim CMK-om.
Ne rekriptiramo retroaktivno sav postojeći sadržaj. Nakon što aktivirate svoj CMK, sav novi sadržaj (Prostori i Sastanci) ponovno se šifrira i štiti.
Razumijemo da neke organizacije preferiraju upravljanje vlastitim ključem izvan Webexa. Zato vam dajemo mogućnost upravljanja vlastitim CMK-om u usluzi upravljanja ključevima (KMS) Amazon Web Services (AWS). To podrazumijeva da ste odgovorni za upravljanje svojim ključevima u AWS KMS-u. Ovlašćujete Webex za šifriranje i dešifriranje pomoću vašeg AWS KMS ključa putem AWS konzole. Webexu dajete svoj AWS KMS ključ ID umjesto svog CMK-a. To znači da preuzimate odgovornost za stvaranje i rotiranje (ponovno šifriranje) AWS KMS ključa koji Webex koristi za šifriranje vaših ključeva za šifriranje sadržaja u oblaku.
Kako to funkcionira
-
Ključ kreirate pomoću AWS-a. AWS KMS se koristi za upravljanje vašim ključem i pohranjuje ga u hardverski sigurnosni modul (HSM).
-
Webexu dajete pristup korištenju AWS KMS ključa putem AWS konzole.
To znači da umjesto prijenosa CMK-a u Control Hub, Webexu dajete pristup AWS KMS ključu. AWS KMS ključ ne napušta vaš AWS KMS, a Webex usluge nemaju pristup materijalu AWS KMS ključa.
Control Hub prikazuje vaš trenutno aktivni ili opozvani AWS KMS ključ i sve AWS KMS ključeve na čekanju koji su pohranjeni u AWS KMS-u. Kada trebate rotirati AWS KMS ključ, generirate svoj novi AWS KMS ključ pomoću AWS KMS konzole.
-
Zatim dodajete i aktivirate novi AWS KMS ključ u Control Hubu, dajući mu Amazon Resource Name (ARN) novog AWS KMS ključa. Webex odmah počinje koristiti novi AWS KMS ključ za šifriranje vaših ključeva sadržaja. Webex više ne zahtijeva stari AWS KMS ključ. Stari AWS KMS ključ nestat će iz Control Huba nakon što se vaši ključevi za šifriranje sadržaja rotiraju i osiguraju novim AWS KMS ključem. Webex ne briše AWS KMS ključ iz AWS KMS-a. Vaš administrator klijenta može ukloniti ključ iz AWS KMS-a.
Životni ciklus ključa
Ključne definicije stanja
- Na čekanju
-
Ključ u ovom stanju pohranjen je u HSM-u, ali se još ne koristi za šifriranje. Webex ne koristi ovaj CMK za šifriranje.
Samo jedan ključ može biti u ovom stanju.
- Aktivno
-
Webex trenutno koristi ovaj CMK za šifriranje drugih ključeva za vašu organizaciju.
Samo jedan ključ može biti u ovom stanju.
- Rotacija
-
Webex privremeno koristi ovaj CMK. Webexu je potreban za dešifriranje vaših podataka i ključeva koji su prethodno šifrirani ovim ključem. Ovaj ključ se povlači kada je rotacija (ponovno šifriranje) završena.
Više ključeva može biti u ovom stanju ako se novi ključ aktivira prije nego što je rotacija dovršena.
- Povučeno
-
Webex ne koristi ovaj CMK. Ovaj ključ se više ne koristi za šifriranje. Postavlja se vrijeme trajanja ključa, nakon čega se taj ključ uklanja iz HSM-a.
- Opozvano
-
Webex ne koristi ovaj CMK. Čak i ako postoje podaci i ključevi koji su šifrirani ovim ključem, Webex ga ne može koristiti za dešifriranje podataka i ključeva.
- Aktivni ključ trebate opozvati samo ako sumnjate da je kompromitiran. Ovo je ozbiljna odluka jer sprječava ispravno funkcioniranje mnogih operacija. Na primjer, nećete moći stvarati nove prostore i nećete moći dešifrirati nijedan sadržaj u Webex klijentu.
- Samo jedan ključ može biti u ovom stanju. Morate ponovno aktivirati ovaj ključ kako biste rotirali (ponovno šifrirali) novi ključ.
- Ovaj CMK se može izbrisati, ali ne morate ga izbrisati. Možda biste ga htjeli sačuvati za dešifriranje / ponovno šifriranje nakon što riješite sumnjivo kršenje sigurnosti.
- Izbrisano
-
Webex ne koristi ovaj CMK. Ponašanje u ovom stanju je isto kao i u stanju Opozvano, osim što je postavljeno vrijeme trajanja ključa, nakon čega se taj ključ uklanja iz HSM-a.
- Ako izbrisani CMK prijeđe u stanje Uklonjeno, morate oporaviti izvorni ključ kako biste vratili funkcionalnost organizacije.
- Preporučujemo da sačuvate sigurnosnu kopiju izvornog ključa, inače vaša organizacija više neće biti funkcionalna.
- Uklonjeno
-
Ovo je logično stanje. Webex nema pohranjen ovaj CMK u HSM-u. Ne prikazuje se u Control Hubu.
Vlasništvo
Preuzimanjem vlasništva nad svojim CMK-om morate:
- Preuzmite odgovornost za sigurno stvaranje i sigurnosnu kopiju svojih ključeva
- Razumjeti posljedice gubitka ključeva
- Preporučuje se da svoj aktivni CMK ponovno šifrirate barem jednom godišnje kao najbolju praksu.
Izrada ključa
Morate kreirati vlastiti CMK koristeći ove parametre. Vaš ključ mora biti:
- 256 bitova (32 bajta) duljine
- Šifrirano pomoću RSA-OAEP sheme
- Šifrirano javnim ključem Webex cloud HSM-a
Vaš softver za generiranje ključeva mora biti sposoban za:
- SHA-256 hash funkcija
- Funkcija generiranja MGF1 maske
- PKCS#1 OAEP podloga
Pogledajte Primjer: Izradite i šifrirajte ključeve pomoću OpenSSL-a na kartici Resursi u ovom članku.
Autorizacija
Morate imati pristup svojoj Webex organizaciji u Control Hubu. Morate biti potpuni administrator da biste upravljali svojim CMK-om.
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . Da biste omogućili BYOK, uključite Donesi svoj vlastiti ključ (BYOK). Ako onemogućite BYOK, uobičajeni zadani ključ Webexa postaje glavni ključ za vašu organizaciju. |
| 3 |
Odaberite Prenesi prilagođeni ključ i kliknite Dalje. |
| 4 |
Kliknite Preuzmi javni ključ. Spremite javni ključ Webex HSM-a u .pem datoteku na svom lokalnom sustavu. |
| 5 |
Izradite kriptografski siguran 256-bitni (32 bajta) slučajni ključ pomoću softvera za upravljanje ključevima. |
| 6 |
Za šifriranje novog ključa upotrijebite javni ključ Webex HSM-a. Potrebni parametri šifriranja su:
Pogledajte Primjer: Izradite i šifrirajte ključeve pomoću OpenSSL-a na kartici Resursi u ovom članku.
|
| 7 |
Povucite šifrirani ključ iz datotečnog sustava i ispustite ga u područje za prijenos sučelja Control Huba ili kliknite Odaberi datoteku. |
| 8 |
Kliknite na Dalje. Webex prenosi vaš ključ u HSM, gdje se dešifrira i validira. Zatim vam Control Hub prikazuje ID vašeg novog CMK-a i ID trenutno aktivnog CMK-a, ako postoji. Ako vam je ovo prvi CMK, trenutno aktivni ključ je Webex common default key (onaj koji trenutno koristimo za šifriranje ključeva vaše organizacije). |
| 9 |
Odaberite kako želite aktivirati svoj ključ:
|
Što učiniti sljedeće
Ne rekriptiramo retroaktivno sav postojeći sadržaj. Nakon što aktivirate svoj CMK, sav novi sadržaj (Prostori i Sastanci) bit će ponovno šifriran i zaštićen.
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . |
| 3 |
Idi na aktivni CMK. |
| 4 |
Kliknite |
| 5 |
Izradite i šifrirajte novi ključ (ako to još niste učinili). Postupak je opisan u Izradite i aktivirajte glavni ključ kupca u ovom članku.
|
| 6 |
Povucite novi ključ iz datotečnog sustava i ispustite ga u Control Hub. |
| 7 |
Kliknite Aktiviraj novi ključ. Novi ključ koji ste prenijeli prelazi u aktivno stanje. Stari CMK ostaje u rotaciji (stanje ponovnog šifriranja) dok Webex ne završi šifriranje svog sadržaja s novim aktivnim CMK-om. Nakon ponovnog šifriranja, ključ prelazi u stanje Umirovljeno. Webex zatim briše stari CMK. |
i odaberite | 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . |
| 3 |
Idi na aktivni ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite opoziv ključa. Potpuno opoziv ključa može potrajati i do 10 minuta.
|
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . |
| 3 |
Idi na trenutno opozvani ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite aktivaciju ključa. Prethodno opozvani ključ prelazi u aktivno stanje.
|
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . |
| 3 |
Idite na opozvani ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite brisanje ključa. Nakon brisanja, imate mogućnost vraćanja ključa u roku od 30 dana.
|
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . |
| 3 |
Idite na izbrisani ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite vraćanje ključa. Nakon vraćanja, Control Hub vam prikazuje ključ u opozvanom stanju prije nego što je izbrisan. Na primjer, ako izbrišete opozvani ključ, a zatim ga vratite, Control Hub prikazuje vraćeni ključ u stanju Opozvano.
|
Vlasništvo
Preuzimanjem vlasništva nad svojim AWS KMS ključem morate:
- Preuzmite odgovornost za sigurno stvaranje i sigurnosno kopiranje vaših AWS KMS ključeva.
- Razumjeti posljedice gubitka AWS KMS ključeva.
- Kao najbolju praksu, ponovno šifrirajte svoj aktivni AMS KMS ključ barem jednom godišnje.
Autorizacija
- Morate biti ovlašteni za stvaranje i upravljanje ključevima u AWS KMS-u za svoju Webex organizaciju.
- Morate imati pristup svojoj Webex organizaciji u Control Hubu. Morate biti potpuni administrator da biste upravljali svojim AWS KMS ključem.
| 1 |
Prijavite se na AWS i idite na AWS KMS konzolu. |
| 2 |
Odaberite Ključevi kojima upravlja korisnik, a zatim kliknite Izradi ključ. |
| 3 |
Kreirajte ključ sa sljedećim atributima:
|
| 4 |
Kliknite Dalje. |
| 5 |
Pregledajte postavke i kliknite Završi. Vaš AWS KMS ključ je kreiran.
|
| 6 |
Idite na Ključevi kojima upravlja korisnik i kliknite Alias ili ID ključa za prikaz ARN-a. |
Što učiniti sljedeće
Preporučujemo da zadržite privremenu kopiju ARN-a. Ovaj ARN se koristi za dodavanje i aktivaciju vašeg AWS KMS ključa u Control Hubu.
Također preporučujemo da izradite sigurnosnu kopiju ključa kako biste osigurali dostupnost i otpornost podataka. To omogućuje pristup šifriranim podacima čak i tijekom regionalnih prekida. Za više informacija pogledajte Izrada sigurnosne kopije AWS KMS ključa u ovom članku.
Prije početka
Prije nego što nastavite s izradom sigurnosne kopije ključa, provjerite jeste li stvorili ključ za više regija. Za više informacija pogledajte Izrada AWS KMS ključa u ovom članku.
| 1 |
Prijavite se na AWS i idite na AWS KMS konzolu. |
| 2 |
Odaberite novostvoreni ključ za više regija. |
| 3 |
Pod Regionalnostkliknite Stvori nove replikacijske ključeve. |
| 4 |
Odaberite regiju sigurnosne kopije s popisa AWS regija i kliknite Dalje. Na primjer, ako je ključ kreiran u zapadnoj regiji SAD-a (us-west-1), razmislite o kreiranju sigurnosne kopije ključa u istočnoj regiji SAD-a (us-east-1).
|
| 5 |
Kreirajte ključ sa sljedećim atributima:
|
| 6 |
Kliknite Sljedeće. |
| 7 |
Pregledajte postavke, označite potvrdni okvir i kliknite Stvori nove replike ključeva. |
Cisco KMS možete ovlastiti za pristup vašem AWS KMS ključu stvaranjem KMS odobrenja ili konfiguriranjem IAM uloge. Odaberite opciju koja najbolje odgovara potrebama vaše organizacije kako biste osigurali sigurnu i fleksibilnu integraciju upravljanja ključevima.
Korištenje KMS potpore
Ova metoda uključuje izravno davanje Cisco KMS dozvola za izvođenje kriptografskih operacija na vašem AWS KMS ključu.
| 1 |
Prijavite se na AWS i idite na konzolu AWS CloudShell. |
| 2 |
Pokrenite Oznaka |
Korištenje IAM uloge
Izradite IAM pravilo s potrebnim KMS dozvolama, a zatim ga priložite IAM ulozi koju Cisco KMS može preuzeti, omogućujući sigurno i centralizirano upravljanje pristupom.
Konfiguriranje IAM pravila
| 1 |
Prijavite se na AWS i idite na AWS KMS konzolu. |
| 2 |
Idi na . |
| 3 |
U lijevom navigacijskom oknu odaberite Pravila, a zatim kliknite Izradi pravilo. |
| 4 |
U odjeljku Uređivač pravila odaberite opciju JSON. |
| 5 |
Kopirajte i zalijepite sljedeći dokument o politici. Zamijenite |
| 6 |
Kliknite Sljedeće. |
| 7 |
Unesite naziv pravila i opcionalni opis. |
| 8 |
Kliknite Izradi pravilo. |
Konfiguriranje IAM uloge
| 1 |
Prijavite se na AWS i idite na AWS KMS konzolu. |
| 2 |
Idi na . |
| 3 |
U lijevom navigacijskom oknu odaberite Uloge, a zatim kliknite Stvori ulogu. |
| 4 |
Pod Vrsta pouzdanog entitetaodaberite AWS račun. |
| 5 |
Odaberite Drugi AWS račun. |
| 6 |
U polje ID računa unesite ID AWS računa koji je naveden u sučelju Control Huba. Ovo je isti ID računa koji je dio |
| 7 |
Kliknite na Dalje. |
| 8 |
Pod Dodaj dozvolepotražite i odaberite IAM pravilo koje ste upravo stvorili. |
| 9 |
Kliknite na Dalje. |
| 10 |
Unesite naziv uloge i opcionalni opis. |
| 11 |
Pregledajte postavke i kliknite Stvori ulogu. |
Prije početka
Morate stvoriti AWS KMS ključ prije nego što ga aktivirate u Control Hubu. Pogledajte Izrada AWS KMS ključa u ovom članku.
Morate omogućiti Webexu pristup AWS KMS ključu. Pogledajte Autorizacija Cisco KMS-a s pristupom AWS KMS ključu u ovom članku.
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na i uključite Donesi svoj vlastiti ključ (BYOK). Ako onemogućite BYOK, uobičajeni zadani ključ Webexa postaje glavni ključ za vašu organizaciju. |
| 3 |
Odaberite Dodaj AWS KMS ključ i kliknite Dalje. |
| 4 |
Preuzmite sljedeće ARN-ove iz AWS konzole:
|
| 5 |
U Control Hubu unesite primarni ključ ARN. Ako je primjenjivo, unesite i ARN sigurnosnog ključa i ARN IAM uloge u odgovarajuća polja. Zatim kliknite Dodaj. Vaš primarni ključ ARN se prenosi u Cisco KMS, gdje se provjerava pristup ključu. Zatim vam Control Hub prikazuje Cisco KMS ID ključa vašeg novog AWS KMS ključa i trenutno aktivni Cisco KMS ID ključa, ako postoji. Ako je ovo vaš prvi AWS KMS ključ, trenutno aktivni ključ je Webex common default key (onaj koji trenutno koristimo za šifriranje ključeva vaše organizacije). |
| 6 |
Odaberite kako želite aktivirati svoj ključ:
|
| 1 |
Prijavite se u Control Hubi idite na . |
| 2 |
Idite na aktivni AWS KMS ključ. |
| 3 |
Kliknite |
| 4 |
Unesite svoj novi AWS KMS ključ i novi ARN te kliknite Dodaj. Postupak je opisan u Dodavanje i aktiviranje vašeg AMS KMS ključa u ovom članku.
|
| 5 |
Kliknite Aktiviraj. Novi AWS KMS ključ koji ste prenijeli prelazi u aktivno stanje. Stari AWS KMS ključ ostaje u stanju rotirajućeg rada dok Webex ne završi šifriranje svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifriranja, stari AWS KMS ključ automatski nestaje iz Control Huba. |
| 1 |
Prijavite se u Control Hubi idite na . |
| 2 |
Kliknite Dodaj još jedan ključ. |
| 3 |
Unesite svoj novi AWS KMS ključ i kliknite Dodaj. Control Hub vam prikazuje Cisco KMS ID ključa vašeg novog AWS KMS ključa i ID trenutno aktivnog Cisco KMS ID-a ključa. Postupak je opisan u Dodavanje i aktiviranje vašeg AMS KMS ključa u ovom članku. |
| 4 |
Kliknite Aktiviraj. Novi AWS KMS ključ koji ste prenijeli prelazi u aktivno stanje. Stari AWS KMS ključ ostaje u stanju rotirajućeg rada dok Webex ne završi šifriranje svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifriranja, stari AWS KMS ključ automatski nestaje iz Control Huba. |
| 1 |
Prijavite se u Control Hubi idite na . |
| 2 |
Idite na trenutno aktivni AWS KMS ključ. |
| 3 |
Kliknite |
| 4 |
Potvrdite opoziv ključa. Potpuno opoziv ključa može potrajati i do 10 minuta. AWS KMS ključ prelazi u stanje Lokalno opozvano.
|
Ako administrator vašeg klijenta opozove ključ iz AWS KMS konzole, tada se AWS KMS ključ prikazuje u stanju Opozvao Amazon u Control Hubu.
| 1 |
Prijavite se u Control Hubi idite na . |
| 2 |
Idite na opozvani AWS KMS ključ. |
| 3 |
Kliknite |
| 4 |
Potvrdite brisanje ključa. Nakon brisanja, ključ možete oporaviti u roku od 30 dana. |
Preporučujemo da prvo izbrišete AWS KMS ključ iz Control Huba prije brisanja CMK-a iz AWS konzole. Ako izbrišete svoj CMK iz AWS konzole prije brisanja AWS KMS ključa u Control Hubu, možete naići na probleme.
Prije brisanja CMK-a iz AWS konzole provjerite da AWS KMS ključ više nije vidljiv u Control Hubu.
| 1 |
Prijavite se u Control Hubi idite na . |
| 2 |
Idite na izbrisani AWS KMS ključ. |
| 3 |
Kliknite |
| 4 |
Potvrdite vraćanje ključa. Nakon vraćanja, Control Hub vam prikazuje ključ u opozvanom stanju. |
Ako naiđete na probleme s AWS KMS ključem, upotrijebite sljedeće informacije za rješavanje problema.
-
AWS KMS ključ ARN. Na primjer,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Stanje ključa AWS KMS-a. Na primjer, AWS KMS ključ je onemogućen.
Ovaj primjer koristi verziju 3.0 alata naredbenog retka OpenSSL-a. Više o ovim alatima potražite u OpenSSL.
| 1 |
Prijavite se u Kontrolno središte. |
| 2 |
Idi na . |
| 3 |
Kliknite Preuzmi javni ključ. Javni ključ Webex HSM-a dobivate u .pem datoteci na svom lokalnom sustavu. |
| 4 |
Kreirajte 256-bitni (32 bajta) ključ: Primjer koristi naziv datoteke main_key.bin za vaš novi nešifrirani ključ. Alternativno, možete generirati 32-bajtnu slučajnu vrijednost pomoću Hex dump-a, Pythona ili online generatora. Također možete kreirati i upravljati svojim AWS KMS ključem. |
| 5 |
Upotrijebite javni ključ Webex HSM-a za šifriranje novog ključa: Primjer koristi naziv datoteke main_key_encrypted.bin za šifrirani izlazni ključ i naziv datoteke path/to/public.pem za javni ključ Webexa. Šifrirani ključ je spreman za prijenos u Control Hub. |
