Upravljajte vlastitim glavnim ključem klijenta

O glavnim ključevima korisnika

Kao dio naše predanosti sigurnosti od kraja do kraja, Webex drži glavni ključ u ime svake organizacije. Nazivamo ga glavnim ključem jer ne šifrira sadržaj izravno, ali se koristi za šifriranje drugih ključeva vaše organizacije koji šifriraju sadržaj. Osnovna razina hijerarhije ključeva naziva se ključ sadržaja (CK), a srednje razine ključeva nazivaju se ključevi za šifriranje ključeva (KEK).

Svjesni smo da neke organizacije radije upravljaju vlastitom sigurnošću, pa vam dajemo mogućnost upravljanja vlastitim glavnim ključem korisnika (CMK). To znači da preuzimate odgovornost za stvaranje i rotiranje (ponovno šifriranje) glavnog ključa koji Webex koristi za šifriranje vaših ključeva za šifriranje sadržaja.

U nastavku, ključ se odnosi na CMK osim ako nije drugačije navedeno.

Kako to radi

Webex čuva vaš CMK u hardverskom sigurnosnom modulu (HSM) tako da usluge Webex nemaju pristup CMK vrijednosti.
Kontrolno središte prikazuje vaš trenutno aktivni ili opozvani CMK i sve CMK na čekanju koji su pohranjeni u HSM-u. Kada trebate rotirati (ponovno šifrirati) CMK, generirate svoj novi CMK i šifrirate ga javnim ključem HSM-a, tako da ga samo HSM može dešifrirati i pohraniti.
Zatim prenosite i aktivirate novi CMK u Control Hubu. Webex odmah počinje koristiti novi CMK za šifriranje vaših ključeva sadržaja. Webex zadržava stari CMK, ali samo dok nije siguran da su vaši ključevi za šifriranje sadržaja zaštićeni novim CMK-om.

Ne retroaktivno rekriptiramo sav postojeći sadržaj. Nakon što aktivirate svoj CMK, sav novi sadržaj (prostori i sastanci) se ponovno šifrira i štiti.

O AWS KMS ključevima

Svjesni smo da neke organizacije radije upravljaju vlastitim ključem izvan Webex. Zato vam dajemo mogućnost upravljanja vlastitim CMK-om u usluzi Amazon Web Services (AWS) Key Management Service (KMS). To znači da ste vi odgovorni za upravljanje svojim ključevima u AWS KMS-u. Ovlašćujete Webex za šifriranje i dešifriranje pomoću vašeg AWS KMS ključa putem AWS konzole. Webex svoj ID ključa AWS KMS umjesto svog CMK-a. To znači da preuzimate odgovornost za stvaranje i rotiranje (ponovno šifriranje) AWS KMS ključa koji Webex koristi za šifriranje vaših ključeva za šifriranje sadržaja u oblaku.

Kako to radi

S AWS-om stvarate ključ. AWS KMS se koristi za upravljanje vašim ključem i pohranjuje ključ u hardverski sigurnosni modul (HSM).
Webex omogućujete pristup za korištenje AWS KMS ključa putem AWS konzole.

To znači da umjesto učitavanja svog CMK-a u Control Hub, Webex dajete pristup AWS KMS ključu. AWS KMS ključ ne napušta vaš AWS KMS, a usluge Webex nemaju pristup materijalu ključa AWS KMS.

Kontrolno središte prikazuje vaš trenutno aktivni ili opozvani AWS KMS ključ i sve na čekanju AWS KMS ključ koji je pohranjen u AWS KMS. Kada trebate rotirati ključ AWS KMS, generirate svoj novi AWS KMS ključ pomoću AWS KMS konzole.
Zatim dodajete i aktivirate novi AWS KMS ključ u Control Hubu, dajući mu Amazon Resource Name (ARN) novog AWS KMS ključa. Webex odmah počinje koristiti novi AWS KMS ključ za šifriranje vaših ključeva sadržaja. Webex više ne zahtijeva stari AWS KMS ključ. Stari AWS KMS ključ nestat će iz Control Huba nakon što se vaši ključevi za šifriranje sadržaja rotiraju i osiguraju novim AWS KMS ključem. Webex ne briše AWS KMS ključ iz AWS KMS-a. Vaš administrator korisnika može ukloniti ključ iz AWS KMS-a.

Ključna stanja i životni ciklus

Ključni životni ciklus

Ključne definicije stanja

Na čekanju

Ključ u ovom stanju pohranjen je u HSM-u, ali se još ne koristi za šifriranje. Webex ne koristi ovaj CMK za enkripciju.

Samo jedan ključ može biti u ovom stanju.

Aktivno

Webex trenutno koristi ovaj CMK za šifriranje drugih ključeva za vašu organizaciju.

Samo jedan ključ može biti u ovom stanju.

Rotacija

Webex privremeno koristi ovaj CMK. Webex je potreban za dešifriranje vaših podataka i ključeva koji su prethodno bili šifrirani ovim ključem. Ovaj ključ se povlači kada se rotacija (ponovno šifriranje) završi.

Više tipki može biti u ovom stanju ako se novi ključ aktivira prije dovršetka rotacije.

u mirovini

Webex ne koristi ovaj CMK. Ovaj ključ se više ne koristi za šifriranje. Postavlja se vrijeme trajanja ključa, nakon čega se ovaj ključ uklanja iz HSM-a.

Opozvano

Webex ne koristi ovaj CMK. Čak i ako postoje podaci i ključevi koji su kriptirani ovim ključem, Webex ga ne može koristiti za dešifriranje podataka i ključeva.

Aktivni ključ trebate opozvati samo ako sumnjate da je ugrožen. Ovo je ozbiljna odluka jer onemogućuje ispravan rad mnogih operacija. Na primjer, nećete moći stvoriti nove prostore i nećete moći dešifrirati bilo koji sadržaj u Webex Clientu.
Samo jedan ključ može biti u ovom stanju. Morate ponovno aktivirati ovaj ključ da biste rotirali (ponovno šifrirali) novi ključ.
Ovaj CMK se može izbrisati, ali ga ne morate izbrisati. Možda ćete ga htjeti zadržati za dešifriranje/ponovno šifriranje nakon što riješite sumnju na kršenje sigurnosti.

Izbrisano

Webex ne koristi ovaj CMK. Ponašanje u ovom stanju je isto kao i stanje Opozvano osim što je postavljeno vrijeme trajanja ključa, nakon čega se ovaj ključ uklanja iz HSM-a.

Ako izbrisani CMK napreduje u stanje Uklonjeno, morate oporaviti izvorni ključ da biste vratili funkcionalnost organizaciji.

Preporučujemo da zadržite sigurnosnu kopiju svog izvornog ključa, inače vaša organizacija više neće funkcionirati.

Uklonjeno

Ovo je logično stanje. Webex nema ovaj CMK pohranjen u HSM-u. Ne prikazuje se u Control Hubu.

Zahtjevi

Vlasništvo

Preuzimanjem vlasništva nad svojim CMK-om morate:

Preuzmite odgovornost za sigurnu izradu i sigurnosno kopiranje svojih ključeva
Shvatite posljedice gubitka ključeva
Ponovno šifrirajte svoj aktivni CMK barem jednom godišnje kao najbolju praksu

Kreiranje ključa

Morate stvoriti vlastiti CMK koristeći ove parametre. Vaš ključ mora biti:

256 bita (32 bajta) duga
Šifrirano shemom RSA-OAEP
Šifrirano javnim ključem Webex cloud HSM

Vaš softver za generiranje ključeva mora biti sposoban:

SHA-256 hash funkcija
Funkcija generiranja maske MGF1
PKCS#1 OAEP dopuna

Pogledajte na primjer: Kreirajte i šifrirajte ključeve pomoću OpenSSL-a na kartici Resursi u ovom članku.

Autorizacija

Morate imati pristup svojoj Webex organizaciji u Control Hubu. Morate biti a puni administrator za upravljanje vašim CMK-om.

Izradite i aktivirajte svoj glavni ključ klijenta

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem . Da biste omogućili BYOK, uključite Ponesite svoj vlastiti ključ (BYOK) na. Ako onemogućite BYOK, Webex zajednički zadani ključ postaje glavni ključ za vašu organizaciju.
3	Odaberite Prenesite prilagođeni ključ i kliknite Dalje .
4	Kliknite Preuzmite javni ključ . Spremite Webex HSM javni ključ u .pem datoteku na vašem lokalnom sustavu.
5	Izradite kriptografski siguran 256-bitni (32 bajta) slučajni ključ pomoću softvera za upravljanje ključevima.
6	Upotrijebite Webex HSM javni ključ za šifriranje novog ključa. Potrebni parametri šifriranja su: RSA-OAEP shema SHA-256 hash funkcija Funkcija generiranja maske MGF1 PKCS#1 OAEP dopuna Pogledajte na primjer: Kreirajte i šifrirajte ključeve pomoću OpenSSL-a na kartici Resursi u ovom članku.
7	Povucite šifrirani ključ iz svog datotečnog sustava i ispustite ga u područje za prijenos sučelja Control Hub-a ili kliknite Odaberite datoteku .
8	Kliknite na Dalje. Webex prenosi vaš ključ u HSM, gdje se dešifrira i potvrđuje. Tada vam Control Hub pokazuje ID vašeg novog CMK-a i ID trenutno aktivnog CMK-a, ako postoji. Ako je ovo vaš prvi CMK, trenutno aktivni ključ je Webex zajednički zadani ključ (onaj koji trenutno koristimo za šifriranje ključeva vaše organizacije).
9	Odaberite kako želite aktivirati svoj ključ: Aktivirajte novi ključ : Novi CMK odmah prelazi u aktivno stanje. Prethodno aktivni CMK prelazi u rotaciju (stanje ponovnog šifriranja), sve dok sav vaš sadržaj ne bude zaštićen novim CMK-om, nakon čega Webex briše prethodno aktivni CMK. Aktivirajte kasnije : Novi CMK prelazi u stanje na čekanju. Webex drži ovaj CMK u HSM-u, ali ga još ne koristi. Webex nastavlja koristiti trenutno aktivni CMK za šifriranje ključeva vaše organizacije.

Što učiniti sljedeće

Ne retroaktivno rekriptiramo sav postojeći sadržaj. Nakon što aktivirate svoj CMK, sav novi sadržaj (prostori i sastanci) bit će ponovno šifriran i zaštićen.

Okrenite ključ

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem .
3	Idite na aktivni CMK.
4	Kliknite i odaberite Zakreni .
5	Stvorite i šifrirajte novi ključ (ako to još niste učinili). Proces je opisan u Izradite i aktivirajte svoj glavni ključ klijenta u ovom članku.
6	Povucite novi ključ iz svog datotečnog sustava i ispustite ga u Control Hub.
7	Kliknite Aktivirajte novi ključ . Novi ključ koji ste prenijeli prelazi u aktivno stanje. Stari CMK ostaje u rotaciji (stanje ponovnog šifriranja) sve dok Webex ne završi šifriranje svog sadržaja novim aktivnim CMK-om. Nakon ponovnog šifriranja, ključ prelazi u stanje Povučeno. Webex zatim briše stari CMK.

Povuci svoj ključ

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem .
3	Idite na aktivni ključ.
4	Kliknite i odaberite Opozovi .
5	Potvrdite opoziv ključa. Može proći do 10 minuta da potpuno opozovete vaš ključ.

Ponovno aktivirajte svoj opozvani ključ

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem .
3	Idite na trenutno opozvani ključ.
4	Kliknite i odaberite Aktiviraj .
5	Potvrdite aktivaciju ključa. Prethodno opozvani ključ prelazi u Aktivno stanje.

Izbrišite svoj povučeni ključ

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem .
3	Idite na opozvani ključ.
4	Kliknite i odaberite Izbriši .
5	Potvrdite brisanje ključa. Nakon brisanja, imate mogućnost vratiti ključ u roku od 30 dana.

Vratite svoj opozvani ključ

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem .
3	Idite na izbrisani ključ.
4	Kliknite i odaberite Poništi brisanje .
5	Potvrdite restauraciju ključa. Nakon vraćanja, Control Hub vam pokazuje ključ u stanju Poništeno prije nego što je izbrisan. Na primjer, ako izbrišete opozvani ključ, a zatim vratite ključ, Control Hub prikazuje vraćeni ključ u stanju Opozvano.

Zahtjevi

Vlasništvo

Preuzimanjem vlasništva nad svojim AWS KMS ključem, morate:

Preuzmite odgovornost za sigurnu izradu i sigurnosnu kopiju svojih AWS KMS ključeva.
Shvatite posljedice gubitka AWS KMS ključeva.
Ponovno šifrirajte svoj aktivni AMS KMS ključ barem jednom godišnje kao najbolju praksu.

Autorizacija

Morate biti ovlašteni za izradu i upravljanje svojim ključevima u AWS KMS-u za svoju Webex organizaciju.
Morate imati pristup svojoj Webex organizaciji u Control Hubu. Morate biti a puni administrator za upravljanje vašim AWS KMS ključem.

Izradite AWS KMS ključ

1	Prijavite se na AWS i idite na AWS KMS konzolu.
2	Odaberite Ključevi kojima upravlja korisnik a zatim kliknite Napravite ključ .
3	Napravite ključ sa sljedećim atributima: Vrsta ključa—odaberite Simetrično . Korištenje ključa—odaberite Šifriranje i dešifriranje . Oznake—unesite pseudonim, opis i oznake. Ključni administratori—odaberite korisnike i uloge ključnih administratora svoje organizacije. Brisanje ključa—Provjerite Dopustite administratorima ključeva da izbrišu ovaj ključ . Ključni korisnici—Odaberite ključne korisnike i uloge svoje organizacije.
4	Kliknite na Dalje.
5	Pregledajte svoje postavke i kliknite Završi . Vaš AWS KMS ključ je stvoren.
6	Idi na Ključevi kojima upravlja korisnik i kliknite Alias ili ID ključa da vidite ARN.

Što učiniti sljedeće

Preporučujemo da zadržite privremenu kopiju ARN-a. Ovaj ARN se koristi za dodavanje i aktiviranje vašeg AWS KMS ključa u Control Hubu.

Autorizirajte Cisco KMS s pristupom AWS KMS ključu

Prijavite se na AWS i idite na AWS CloudShell konzolu.

Pokrenite create-grant ovlastiti Webex na sljedeći način:

aws kms create-grant \

              --name {UNIQUE_NAME_FOR_GRANT} \

              --key-id {UUID_Of_AWS_KMS Key} \

              --operations Encrypt Decrypt DescribeKey \

              --grantee-principal {KMS_CISCO_USER_ARN} \

              --retiring-principal {KMS_CISCO_USER_ARN}

Na primjer:

aws kms create-grant \ 

              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 

              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 

              --operations Encrypt Decrypt DescribeKey \ 

              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 

              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Datoteka KMS_CISCO_USER_ARN specifična je za vašu organizaciju. ARN se prikazuje u prozoru Dodaj svoj AWS ključ kada aktivirate svoj novi AWK KMS ključ u Control Hubu.

Dodajte i aktivirajte svoj AWS KMS ključ

Prije početka

Morate stvoriti AWS KMS ključ prije nego što ga aktivirate u Control Hubu. Pogledajte na Izradite AWS KMS ključ u ovom članku.

Webex morate omogućiti pristup AWS KMS ključu. Pogledajte na Autorizirajte Cisco KMS s pristupom AWS KMS ključu u ovom članku.

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem , i prebacite Ponesite svoj ključ (BYOK) na. Ako onemogućite BYOK, Webex zajednički zadani ključ postaje glavni ključ za vašu organizaciju.
3	Odaberite Dodajte AWS KMS ključ i kliknite Dalje .
4	Preuzmite ARN s AWS konzole.
5	Unesite ARN u Control Hub i kliknite Dodaj . Vaš ključ ARN se učitava u Cisco KMS, gdje se provjerava valjanost pristupa ključu. Tada vam Control Hub pokazuje ID Cisco KMS ključa vašeg novog AWS KMS ključa i trenutno aktivni Cisco KMS ID ključa, ako postoji. Ako je ovo vaš prvi AWS KMS ključ, trenutno aktivni ključ je Webex zajednički zadani ključ (onaj koji trenutno koristimo za šifriranje ključeva vaše organizacije).
6	Odaberite kako želite aktivirati svoj ključ: Aktiviraj : Novi AWS KMS ključ odmah prelazi u aktivno stanje. Aktivirajte kasnije : Novi AWS KMS ključ prelazi u stanje na čekanju. Webex čuva ovaj AWS KMS ključ ARN u Cisco KMS-u, ali ga još ne koristi. Webex nastavlja koristiti trenutno aktivni AWS KMS ključ za šifriranje ključeva vaše organizacije.

Rotirajte svoj AWS KMS ključ

1	Prijavite se na Kontrolno čvorište , i idite na Postavke organizacije > Upravljanje ključem .
2	Idite na aktivni AWS KMS ključ.
3	Kliknite i odaberite Zakreni .
4	Unesite svoj novi AWS KMS ključ i novi ARN i kliknite Dodaj . Proces je opisan u Dodajte i aktivirajte svoj AMS KMS ključ u ovom članku.
5	Kliknite Aktiviraj. Novi AWS KMS ključ koji ste prenijeli prelazi u aktivno stanje. Stari AWS KMS ključ ostaje u rotirajućem stanju dok Webex ne završi šifriranje svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifriranja, stari AWS KMS ključ automatski nestaje iz Control Huba.

Zakrenite da biste dodali još jedan AWS KMS ključ (opcionalno)

1	Prijavite se na Kontrolno čvorište , i idite na Postavke organizacije > Upravljanje ključem .
2	Kliknite Dodajte još jedan ključ .
3	Unesite svoj novi AWS KMS ključ i kliknite Dodaj . Control Hub vam prikazuje ID Cisco KMS ključa vašeg novog AWS KMS ključa i ID trenutno aktivnog Cisco KMS ključa ID. Proces je opisan u Dodajte i aktivirajte svoj AMS KMS ključ u ovom članku.
4	Kliknite Aktiviraj. Novi AWS KMS ključ koji ste prenijeli prelazi u aktivno stanje. Stari AWS KMS ključ ostaje u rotirajućem stanju dok Webex ne završi šifriranje svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifriranja, stari AWS KMS ključ automatski nestaje iz Control Huba.

Opozovite svoj AWS KMS ključ

1	Prijavite se na Kontrolno čvorište , i idite na Postavke organizacije > Upravljanje ključem .
2	Idite na trenutno aktivni AWS KMS ključ.
3	Kliknite i odaberite Lokalno opozvati .
4	Potvrdite opoziv ključa. Može proći do 10 minuta da potpuno opozovete vaš ključ. AWS KMS ključ prelazi u stanje lokalno opozvano.

Ako administrator vašeg korisnika opozove ključ s AWS KMS konzole, tada je ključ AWS KMS prikazan u stanju Opozvano od strane Amazona u Control Hubu.

Izbrišite svoj AWS KMS ključ

1	Prijavite se na Kontrolno čvorište , i idite na Postavke organizacije > Upravljanje ključem .
2	Idite na opozvani AWS KMS ključ.
3	Kliknite i odaberite Izbriši .
4	Potvrdite brisanje ključa. Nakon brisanja, ključ možete oporaviti u roku od 30 dana.

Preporučujemo da prvo izbrišete AWS KMS ključ iz Control Huba prije nego što izbrišete svoj CMK s AWS konzole. Ako izbrišete svoj CMK s AWS konzole prije nego što izbrišete AWS KMS ključ u Control Hubu, možete naići na probleme.

Provjerite da ključ AWS KMS više nije vidljiv u Control Hubu prije nego što izbrišete svoj CMK s AWS konzole.

Vratite svoj AWS KMS ključ

1	Prijavite se na Kontrolno čvorište , i idite na Postavke organizacije > Upravljanje ključem .
2	Idite na izbrisani AWS KMS ključ.
3	Kliknite i odaberite Poništi brisanje .
4	Potvrdite restauraciju ključa. Nakon vraćanja, Control Hub vam pokazuje ključ u stanju Opozvano.

Riješite probleme sa svojim AWS KMS ključem

Ako naiđete na probleme sa svojim AWS KMS ključem, upotrijebite sljedeće informacije da biste ga riješili.

AWS KMS ključ ARN. Na primjer, msiexec /i c:\work\Webex.msi DEFAULT_THEME="Light" ALLUSERS=1 arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Odobrenja za AWS KMS ključ .
Stanje ključa AWS KMS. Na primjer, AWS KMS ključ je onemogućen.

Primjer: Kreirajte i šifrirajte ključeve pomoću OpenSSL-a

Ovaj primjer koristi verziju 3.0 alata naredbenog retka OpenSSL. vidi OpenSSL za više o ovim alatima.

1	Prijavite se na Kontrolno čvorište .
2	Idi na Postavke organizacije > Upravljanje ključem .
3	Kliknite Preuzmite javni ključ . Webex HSM javni ključ dobivate u .pem datoteci na vašem lokalnom sustavu.
4	Napravite ključ od 256 bita (32 bajta): `openssl rand 32 -out main_key.bin` Primjer koristi naziv datotekemain_key .bin za vaš nešifrirani novi ključ.
5	Koristite javni ključ Webex HSM za šifriranje novog ključa: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Primjer koristi naziv datotekemain_key_encrypted .bin za šifrirani izlazni ključ i naziv datoteke put/do/javno.pem za javni ključ Webex . Šifrirani ključ spreman je za prijenos u Control Hub.