Više o glavnim ključevima korisnika

Kao dio naše posvećenosti sveobuhvatnoj sigurnosti, Webex ima glavni ključ u ime svake organizacije. Zovemo ga glavnim ključem jer ne šifrira sadržaj izravno, ali se upotrebljava za šifriranje drugih ključeva vaše organizacije koji šifriraju sadržaj. Osnovna razina hijerarhije ključeva zove se ključ sadržaja (CK), a srednje razine ključeva nazivaju se ključevima za šifriranje (KEK).

Prepoznajemo da neke organizacije preferiraju upravljati vlastitom sigurnošću, stoga vam dajemo mogućnost upravljanja vlastitim glavnim ključem korisnika (CMK). To znači da preuzimate odgovornost za izradu i rotaciju (ponovno šifriranje) glavnog ključa koji Webex upotrebljava za šifriranje vaših ključeva za šifriranje sadržaja.

Ubuduće, ključ se odnosi na CMK, osim ako nije drugačije navedeno.

Kako to funkcionira

  1. Webex zadržava vaš CMK u modulu za sigurnost hardvera (HSM) kako usluge Webex ne bi imale pristup CMK vrijednosti.

  2. Control Hub prikazuje vaš trenutačno aktivan ili opozvan CMK i svaki CMK na čekanju koji je pohranjen u HSM-u. Kada trebate zarotirati (ponovno šifrirati) CMK, generirate svoj novi CMK i šifrirate ga javnim ključem HSM, tako da ga samo HSM može dešifrirati i pohraniti.

  3. Zatim prenosite i aktivirate novi CMK u okruženju Control Hub. Webex odmah počinje upotrebljavati novi CMK za šifriranje ključeva sadržaja. Webex zadržava stari CMK, ali samo dok ne bude siguran da su vaši ključevi za šifriranje sadržaja zaštićeni novim CMK-om.

Ne šifriramo retroaktivno sav postojeći sadržaj. Nakon što aktivirate CMK, sav novi sadržaj (Prostori i Sastanci) ponovno se šifrira i štiti.
Više o AWS KMS tipkama

Prepoznajemo da neke organizacije preferiraju upravljati vlastitim ključem izvan Webexa. Zato vam dajemo mogućnost da upravljate vlastitim CMK-om u Amazon Web Services (AWS) Key Management Service (KMS). To znači da ste odgovorni za upravljanje svojim ključevima u AWS KMS-u. Ovlašćujete Webex za šifriranje i dešifriranje pomoću vašeg ključa AWS KMS-a kroz AWS konzolu. Webexu dajete ID svog AWS KMS ključa umjesto CMK-a. To znači da preuzimate odgovornost za izradu i rotaciju (ponovno šifriranje) AWS KMS ključa koji Webex upotrebljava za šifriranje vaših ključeva za šifriranje sadržaja u oblaku.

Kako to funkcionira

  1. Stvorite ključ pomoću AWS-a. AWS KMS se koristi za upravljanje vašim ključem i pohranjuje ključ u modul za sigurnost hardvera (HSM).

  2. Aplikaciji Webex dajete pristup za upotrebu ključa AWS KMS-a putem AWS konzole.

    To znači da umjesto prijenosa svog CMK-a u Control Hub, aplikaciji Webex dajete pristup ključu AWS KMS-a. Ključ AWS KMS ne ostavlja vaše AWS KMS, a usluge Webex nemaju pristup materijalu ključa AWS KMS.

    Control Hub prikazuje vaš trenutačno aktivan ili opozvan AWS KMS ključ i sve AWS KMS ključ na čekanju koji je pohranjen u AWS KMS-u. Kada trebate zarotirati AWS KMS ključ, generirate svoj novi AWS KMS ključ s AWS KMS konzolom.

  3. Zatim dodajte i aktivirajte novi ključ AWS KMS u okruženju Control Hub, pružajući mu naziv resursa Amazon (ARN) novog AWS KMS ključa. Webex odmah počinje upotrebljavati novi AWS KMS ključ za šifriranje ključeva sadržaja. Webex više ne zahtijeva stari AWS KMS ključ. Stari AWS KMS ključ nestat će iz okruženja Control Hub nakon što se vaši ključevi za šifriranje sadržaja rotiraju i osiguraju novim AWS KMS ključem. Webex ne briše ključ AWS KMS iz AWS KMS-a. Vaš administrator korisnika može ukloniti ključ iz AWS KMS-a.

Ključna stanja i životni ciklus

Ključni životni ciklus

Ključne definicije stanja

Na čekanju

Ključ u ovom stanju pohranjen je u HSM, ali još se ne upotrebljava za šifriranje. Webex ne upotrebljava taj CMK za šifriranje.

U tom stanju može biti samo jedan ključ.
Aktivno

Webex trenutačno upotrebljava taj CMK za šifriranje drugih ključeva za vašu organizaciju.

U tom stanju može biti samo jedan ključ.
Rotacija

Webex privremeno upotrebljava ovaj CMK. Webex treba da dešifrira vaše podatke i ključeve koji su prethodno šifrirani ovim ključem. Taj se ključ povlači nakon dovršetka rotacije (ponovno šifriranje).

U tom stanju može biti više tipki ako je novi ključ aktiviran prije dovršetka rotacije.
Povučeno

Webex ne upotrebljava taj CMK. Taj se ključ više ne upotrebljava za šifriranje. Postavlja se vrijeme za život ključa, nakon čega se taj ključ uklanja iz HSM-a.

Opozvano

Webex ne upotrebljava taj CMK. Čak i ako postoje podaci i ključevi koji su šifrirani tim ključem, Webex ga ne može upotrebljavati za dešifriranje podataka i ključeva.

  • Aktivni ključ trebate opozvati samo ako sumnjate da je ugrožen. To je ozbiljna odluka jer sprječava mnoge operacije da se pravilno ponašaju. Na primjer, nećete moći stvoriti nove prostore i nećete moći dešifrirati sadržaj u Webex klijentu.
  • U tom stanju može biti samo jedan ključ. Taj ključ morate ponovno aktivirati da biste zakrenuli (ponovno šifrirali) novi ključ.
  • Ovaj CMK možete izbrisati, ali ga ne morate izbrisati. Možda ga želite zadržati za dešifriranje/ponovno šifriranje nakon što riješite sumnju na kršenje sigurnosti.
Izbrisano

Webex ne upotrebljava taj CMK. Ponašanje u ovom stanju je isto kao i Opozvano stanje, osim što je postavljen ključ vremena života, nakon čega se taj ključ uklanja iz HSM-a.

  • Ako izbrisani CMK prijeđe u Uklonjeno stanje, morate oporaviti izvorni ključ kako biste vratili funkcionalnost u organizaciju.
  • Preporučujemo da zadržite sigurnosnu kopiju izvornog ključa, u suprotnom vaša organizacija više neće biti funkcionalna.
Uklonjeno

To je logično stanje. Webex nema pohranjen CMK u HSM-u. Ne prikazuje se u usluzi Control Hub.

Zahtjevi

Vlasništvo

Preuzimanjem vlasništva nad CMK-om morate:

  • Preuzmite odgovornost za sigurnu izradu i sigurnosno kopiranje svojih ključeva
  • Shvatite posljedice gubitka ključeva
  • Kao najbolju praksu ponovno šifrirajte svoj aktivni CMK barem jednom godišnje

Izrada ključa

Morate izraditi vlastiti CMK koristeći ove parametre. Vaš ključ mora biti:

  • 256 bita (32 bajta) dugo
  • Šifrirano shemom RSA-OAEP
  • Šifrirano javnim ključem Webex oblaka HSM

Vaš softver za generiranje ključa mora biti sposoban:

  • Funkcija ljestvi SHA-256
  • Funkcija generiranja maske MGF1
  • PKCS#1 OAEP podstava

Pogledajte primjer: Izradite i šifrirajte ključeve pomoću alata OpenSSL u kartici Resursi u ovom članku.

Autorizacija

Morate imati pristup svojoj Webex organizaciji u okruženju Control Hub. morate biti administrator s punim ovlastima za upravljanje CMK-om.

Izradite i aktivirajte glavni ključ korisnika
1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

Da biste omogućili BYOK, uključite opciju Ponesi vlastiti ključ (BYOK) . Ako onemogućite BYOK, Webexov zajednički zadani ključ postat će glavni ključ za vašu organizaciju.

3

Odaberite Prenesi prilagođeni ključ i kliknite Dalje.

4

Kliknite na Preuzmi javni ključ.

Spremite javni ključ Webex HSM u .pem datoteku na lokalni sustav.

5

Stvorite kriptografski siguran 256-bitni (32 bajt) nasumični ključ pomoću svog softvera za upravljanje ključevima.

6

Upotrijebite javni ključ Webex HSM da biste šifrirali svoj novi ključ.

Potrebni parametri šifriranja su:

  • RSA-OAEP shema
  • Funkcija ljestvi SHA-256
  • Funkcija generiranja maske MGF1
  • PKCS#1 OAEP podstava
Pogledajte primjer: Izradite i šifrirajte ključeve pomoću alata OpenSSL u kartici Resursi u ovom članku.
7

Povucite šifrirani ključ iz datotečnog sustava i ispustite ga u područje za prijenos sučelja okruženja Control Hub ili kliknite na Odabir datoteke.

8

Kliknite Dalje.

Webex prenosi vaš ključ na HSM gdje se dešifrira i provjerava. Tada vam Control Hub prikazuje ID vašeg novog CMK-a i ID trenutačno aktivnog CMK-a, ako postoji.

Ako je ovo vaš prvi CMK, trenutačno aktivan ključ je Webex zajednički zadani ključ (onaj koji trenutačno upotrebljavamo za šifriranje ključeva vaše organizacije).

9

Odaberite kako želite aktivirati svoj ključ:

  • Aktiviraj novi ključ: Novi CMK odmah ulazi u aktivno stanje. Prethodno aktivni CMK ulazi u rotaciju (stanje ponovnog šifriranja), sve dok sav vaš sadržaj ne bude zaštićen novim CMK-om, nakon čega Webex briše prethodno aktivni CMK.
  • Aktiviraj kasnije: Novi CMK premješta se u stanje na čekanju. Webex ovaj CMK zadržava u HSM-u, ali ga još ne upotrebljava. Webex nastavlja upotrebljavati trenutačno aktivan CMK za šifriranje ključeva vaše organizacije.

Što učiniti sljedeće

Ne šifriramo retroaktivno sav postojeći sadržaj. Nakon što aktivirate CMK, sav će se novi sadržaj (Prostori i Sastanci) ponovno šifrirati i zaštititi.
Zarotirajte svoj ključ
1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

3

Idite na aktivni CMK.

4

Kliknite Izbornik Više i odaberite Rotiraj.

5

Izradite i šifrirajte novi ključ (ako to još niste učinili).

Postupak je opisan u odjeljku Izrada i aktivacija glavnog ključa korisnika u ovom članku.
6

Povucite novi ključ iz datotečnog sustava i ispustite ga u Control Hub.

7

Kliknite na Aktiviraj novi ključ.

Novi ključ koji ste prenijeli ulazi u aktivno stanje.

Stari CMK ostaje u rotaciji (stanje ponovnog šifriranja) sve dok Webex ne završi šifriranje cijelog svog sadržaja novim aktivnim CMK-om. Nakon ponovnog šifriranja, ključ se premješta u stanje mirovanja. Webex zatim briše stari CMK.

Povucite svoj ključ
1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

3

Idite na aktivni ključ.

4

Kliknite Izbornik Više i odaberite Uskrati.

5

Potvrdite opoziv ključa.

Može proći do 10 minuta da se vaš ključ u potpunosti povuče.
Ponovno aktivirajte opozvani ključ
1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

3

Idite na trenutačno opozvan ključ.

4

Kliknite Izbornik Više i odaberite Aktiviraj.

5

Potvrdite aktivaciju ključa.

Prethodno opozvan ključ ulazi u Aktivno stanje.
Izbriši opozvani ključ
1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

3

Idite na opozvan ključ.

4

Kliknite Izbornik Više i odaberite Izbriši.

5

Potvrdite brisanje ključa.

Nakon brisanja možete vratiti ključ u roku od 30 dana.
Vratite opozvani ključ
1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

3

Idite na izbrisani ključ.

4

Kliknite Izbornik Više i odaberite Poništi brisanje.

5

Potvrdite vraćanje ključa.

Nakon vraćanja, Control Hub vam prikazuje ključ u stanju Opozvano prije brisanja. Na primjer, ako izbrišete opozvani ključ, a zatim ga vratite, Control Hub prikazuje vraćeni ključ u stanju Opozvano.

Zahtjevi

Vlasništvo

Preuzimanjem vlasništva nad AWS KMS ključem morate:

  • Preuzmite odgovornost za sigurnu izradu i sigurnosno kopiranje svojih AWS KMS ključeva.
  • Shvatite posljedice gubitka AWS KMS ključeva.
  • Kao najbolju praksu ponovno šifrirajte svoj aktivni AMS KMS ključ barem jednom godišnje.

Autorizacija

  • Morate biti ovlašteni za izradu i upravljanje svojim ključevima u AWS KMS-u za svoju Webex organizaciju.
  • Morate imati pristup svojoj Webex organizaciji u okruženju Control Hub. morate biti administrator s punim ovlastima za upravljanje AWS KMS ključem.
Izradite AWS KMS ključ
1

Prijavite se u AWS i idite na AWS KMS konzolu.

2

Odaberite Ključevi kojima upravlja korisnik , a zatim kliknite Izradi ključ.

3

Izradite ključ sa sljedećim atributima:

  • Vrsta ključa – odaberite Simetrično.
  • Upotreba ključa – odaberite Šifriraj i dešifriraj.
  • Oznake — unesite pseudonim, opis i oznake.
  • Administratori ključa – odaberite korisnike i uloge administratora ključa svoje organizacije.
  • Brisanje ključa – označite opciju Dopusti administratorima ključa brisanje ovog ključa.
  • Ključni korisnici – odaberite ključne korisnike i uloge svoje organizacije.
4

Kliknite Dalje.

5

Pregledajte svoje postavke i kliknite na Završi.

Izrađen je vaš AWS KMS ključ.
6

Otvorite Ključevi kojima upravlja korisnik i kliknite na Pseudonim ili ID ključa za prikaz ARN-a.

Što učiniti sljedeće

Preporučujemo da zadržite privremenu kopiju ARN-a. Taj ARN upotrebljava se za dodavanje i aktivaciju vašeg AWS KMS ključa u okruženju Control Hub.

Autorizirajte Cisco KMS s pristupom ključu AWS KMS
1

Prijavite se u AWS i idite na AWS konzolu CloudShell.

2

Pokrenite dodjelu bespovratnih sredstava kako biste autorizirali Webex na sljedeći način:

aws kms create-grant \ --name {UNIQUE_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWS_KMS ključ} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Npr.: 
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxx \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxx:user/kms- cisco-user
KMS_CISCO_KORISNIČKI_ARN specifičan je za vašu organizaciju. ARN se prikazuje u prozoru Dodaj svoj AWS ključ kada aktivirate svoj novi AWK KMS ključ u okruženju Control Hub.
Dodajte i aktivirajte svoj AWS KMS ključ

Prije početka

Prije nego što ga aktivirate u okruženju Control Hub, morate izraditi AWS KMS ključ. Pogledajte Stvaranje AWS KMS ključa u ovom članku.

Webexu morate omogućiti pristup ključu AWS KMS-a. Pogledajte odjeljak Autoriziraj Cisco KMS s pristupom ključu AWS KMS u ovom članku.

1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima i uključite opciju Ponesi vlastiti ključ (BYOK) .

Ako onemogućite BYOK, Webexov zajednički zadani ključ postat će glavni ključ za vašu organizaciju.

3

Odaberite Dodaj tipku AWS KMS-a i kliknite na Dalje.

4

Nabavite ARN s AWS konzole.

5

Unesite ARN u Control Hub i kliknite na Dodaj.

Vaš ARN ključa prenosi se u Cisco KMS, gdje je potvrđen pristup ključu. Tada vam Control Hub prikazuje ID ključa Cisco KMS za vaš novi AWS KMS ključ i ID trenutačno aktivnog Cisco KMS ključa, ako postoji.

Ako je ovo vaš prvi AWS KMS ključ, trenutačno aktivan ključ je Webex zajednički zadani ključ (onaj koji trenutačno upotrebljavamo za šifriranje ključeva vaše organizacije).

6

Odaberite kako želite aktivirati svoj ključ:

  • Aktiviraj: Novi ključ AWS KMS-a odmah ulazi u aktivno stanje.
  • Aktiviraj kasnije: Novi AWS KMS ključ premješta se u stanje na čekanju. Webex zadržava ovaj ARN ključa AWS KMS u Cisco KMS-u, ali ga još ne upotrebljava. Webex nastavlja upotrebljavati trenutačno aktivan AWS KMS ključ za šifriranje ključeva vaše organizacije.
Zarotirajte svoj AWS KMS ključ
1

Prijavite se u okruženje Control Hub i otvorite Postavke organizacije > Upravljanje ključevima.

2

Idite na aktivni AWS KMS ključ.

3

Kliknite Izbornik Više i odaberite Rotiraj.

4

Unesite svoj novi AWS KMS ključ i novi ARN i kliknite na Dodaj.

Postupak je opisan u Dodajte i aktivirajte svoj ključ AMS KMS-a u ovom članku.
5

Kliknite Aktiviraj.

Novi AWS KMS ključ koji ste prenijeli odlazi u aktivno stanje.

Stari AWS KMS ključ ostaje u stanju rotacije sve dok Webex ne dovrši šifriranje cijelog svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifriranja, stari AWS KMS ključ automatski nestaje iz okruženja Control Hub.

Zarotirajte kako biste dodali drugi AWS KMS ključ (neobavezno)
1

Prijavite se u okruženje Control Hub i otvorite Postavke organizacije > Upravljanje ključevima.

2

Kliknite na Dodaj drugi ključ.

3

Unesite svoj novi AWS KMS ključ i kliknite na Dodaj.

Control Hub vam prikazuje ID ključa Cisco KMS za vaš novi AWS KMS ključ i ID trenutačno aktivnog Cisco KMS ključa.

Postupak je opisan u Dodajte i aktivirajte svoj ključ AMS KMS-a u ovom članku.

4

Kliknite Aktiviraj.

Novi AWS KMS ključ koji ste prenijeli odlazi u aktivno stanje.

Stari AWS KMS ključ ostaje u stanju rotacije sve dok Webex ne dovrši šifriranje cijelog svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifriranja, stari AWS KMS ključ automatski nestaje iz okruženja Control Hub.

Povucite svoj AWS KMS ključ
1

Prijavite se u okruženje Control Hub i otvorite Postavke organizacije > Upravljanje ključevima.

2

Idite na trenutačno aktivni AWS KMS ključ.

3

Kliknite Izbornik Više i odaberite Lokalno uskrati.

4

Potvrdite opoziv ključa.

Može proći do 10 minuta da se vaš ključ u potpunosti povuče. Ključ AWS KMS-a ulazi u Lokalno opozvano stanje.

Ako vaš korisnički administrator uskrati ključ s AWS KMS konzole, tada se AWS KMS ključ prikazuje u stanju Opozvano od strane Amazona u okruženju Control Hub.

Izbrišite svoj AWS KMS ključ
1

Prijavite se u okruženje Control Hub i otvorite Postavke organizacije > Upravljanje ključevima.

2

Idite na opozvan ključ AWS KMS-a.

3

Kliknite Izbornik Više i odaberite Izbriši.

4

Potvrdite brisanje ključa.

Nakon brisanja ključ možete oporaviti u roku od 30 dana.

Preporučujemo da prvo izbrišete AWS KMS ključ iz okruženja Control Hub prije nego što izbrišete svoj CMK s AWS konzole. Ako izbrišete svoj CMK s AWS konzole prije brisanja ključa AWS KMS-a u okruženju Control Hub, mogli biste naići na probleme.

Provjerite da AWS KMS ključ više nije vidljiv u okruženju Control Hub prije nego što izbrišete svoj CMK s AWS konzole.

Vratite svoj AWS KMS ključ
1

Prijavite se u okruženje Control Hub i otvorite Postavke organizacije > Upravljanje ključevima.

2

Idite na izbrisani ključ AWS KMS-a.

3

Kliknite Izbornik Više i odaberite Poništi brisanje.

4

Potvrdite vraćanje ključa.

Nakon vraćanja, Control Hub vam prikazuje ključ u stanju Opozvano.

Rješavanje problema za AWS KMS ključ

Ako naiđete na probleme sa svojim AWS KMS ključem, koristite sljedeće podatke za rješavanje problema.

  • AWS KMS ključ ARN. Na primjer, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Bespovratna sredstva na ključu AWS KMS-a.

  • Stanje ključa za AWS KMS. Na primjer, ključ AWS KMS je onemogućen.

Primjer: Izrada i šifriranje ključeva pomoću OpenSSL-a

Ovaj primjer koristi verziju 3.0 alata naredbenog retka OpenSSL. Pogledajte OpenSSL za više o tim alatima.

1

Prijavite se u Kontrolno središte.

2

Otvorite Postavke organizacije > Upravljanje ključevima.

3

Kliknite na Preuzmi javni ključ.

Javni ključ Webex HSM možete dobiti u .pem datoteci na lokalnom sustavu.

4

Izradite 256-bitni (32 bajt) ključ: openssl rand -out main_key.bin 32.

Primjer koristi naziv datoteke main_key.bin za vaš nešifrirani novi ključ.

Alternativno, možete generirati nasumičnu vrijednost od 32 bajta pomoću heksadecimalnog ispisa, Python ili online generatora. Također možete izraditi i upravljati svojim AWS KMS ključem.

5

Upotrijebite javni ključ Webex HSM da biste šifrirali svoj novi ključ:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Primjer koristi naziv datoteke main_key_encrypted.bin za šifrirani izlazni ključ i naziv datoteke path/to/public.pem za javni ključ Webexa.

Šifrirani ključ spreman je za prijenos u Control Hub.

Povezane upute