Köszönjük visszajelzését.
Saját ügyfélfő kulcs kezelése
Visszajelzés?
A végpontok közötti biztonság iránti elkötelezettségünk részeként a Webex minden szervezet nevében rendelkezik egy fő kulccsal. Fő kulcsnak nevezzük, mivel közvetlenül nem titkosítja a tartalmat, de a szervezet többi, a tartalmat titkosító kulcsának titkosítására használják. A kulcshierarchia alapszintjét tartalomkulcsnak (CK), a kulcsok közbenső szintjeit pedig kulcstitkosítási kulcsoknak (KEK) nevezik.
Elismerjük, hogy egyes szervezetek a saját biztonságukat szeretnék kezelni, ezért lehetőséget adunk Önnek a saját ügyfélfő kulcs (CMK) kezelésére. Ez azt jelenti, hogy Ön felelős annak a fő kulcsnak a létrehozásáért és elforgatásáért (újraszinkronizálásáért), amelyet a Webex a tartalom titkosításához használ.
Ellenkező rendelkezés hiányában a kulcs a CMK-re utal.
Hogyan működik?
-
A Webex a CMK-t egy hardverbiztonsági modulban (HSM) tartja, hogy a Webex-szolgáltatások ne férjenek hozzá a CMK-értékhez.
-
A Control Hub megjeleníti a jelenleg aktív vagy visszavont CMK-t, valamint a HSM-ben tárolt, függőben lévő CMK-t. Ha el kell forgatni (újra titkosítani) a CMK-t, akkor létrehozza az új CMK-t, és titkosítja a HSM nyilvános kulcsával, hogy csak a HSM tudja visszafejteni és tárolni.
-
Ezután feltöltheti és aktiválhatja az új CMK-t a Control Hubban. A Webex azonnal elkezdi az új CMK használatát a tartalomkulcsok titkosításához. A Webex megtartja a régi CMK-t, de csak addig, amíg nem biztos benne, hogy a tartalom titkosítási kulcsait az új CMK védi-e.
Elismerjük, hogy egyes szervezetek a saját kulcsukat a Webexen kívül szeretnék kezelni. Ezért lehetőséget adunk a saját CMK-jének kezelésére az Amazon Web Services (AWS) Key Management Service (KMS) szolgáltatásban. Ez azt jelenti, hogy Ön a felelős a kulcsok kezeléséért az AWS KMS-ben. Engedélyezheti a Webexnek az AWS KMS-kulcs használatával történő titkosítást és visszafejtést az AWS-konzolon keresztül. A CMK helyett az AWS KMS-kulcsazonosítóját adja meg a Webexnek. Ez azt jelenti, hogy Ön felelős annak az AWS KMS-kulcsnak a létrehozásáért és elforgatásáért (újraszinkronizálásáért), amelyet a Webex a tartalom titkosítási kulcsainak a felhőben való titkosításához használ.
Hogyan működik?
-
Az AWS segítségével hozhat létre kulcsot. Az AWS KMS a kulcs kezelésére szolgál, és a kulcsot egy hardveres biztonsági modulban (HSM) tárolja.
-
Ön hozzáférést biztosít a Webex számára az AWS KMS-kulcs használatához az AWS-konzolon keresztül.
Ez azt jelenti, hogy ahelyett, hogy feltöltené a CMK-t a Control Hubba, Ön hozzáférést biztosít a Webex számára az AWS KMS-kulcshoz. Az AWS KMS-kulcs nem hagyja el az AWS KMS-t, és a Webex-szolgáltatások nem férnek hozzá az AWS KMS-kulcs anyagához.
A Control Hub megjeleníti a jelenleg aktív vagy visszavont AWS KMS-kulcsát, valamint az AWS KMS-ben tárolt, függőben lévő AWS KMS-kulcsot. Ha el kell forgatnia az AWS KMS-kulcsot, az AWS KMS konzol segítségével generálhatja az új AWS KMS-kulcsot.
-
Ezután hozzáadja és aktiválja az új AWS KMS-kulcsot a Control Hubban, megadva azt az új AWS KMS-kulcs Amazon Resource Name (ARN) nevet. A Webex azonnal elkezdi az új AWS KMS-kulcsot használni a tartalomkulcsok titkosításához. A Webexnek már nincs szüksége a régi AWS KMS-kulcsra. A régi AWS KMS kulcs eltűnik a Control Hubból, miután a tartalom titkosítási kulcsait elforgatta és az új AWS KMS kulcs biztosította. A Webex nem törli az AWS KMS-kulcsot az AWS KMS-ből. Az ügyfél rendszergazdája eltávolíthatja a kulcsot az AWS KMS-ből.
Kulcséletciklus
Kulcsállapot-definíciók
- Függőben
-
Az ilyen állapotú kulcs a HSM-ben tárolódik, de még nem használják titkosításra. A Webex nem használja ezt a CMK-t a titkosításhoz.
Ebben az állapotban csak egy kulcs lehet. - Aktív
-
A Webex jelenleg ezt a CMK-t használja az Ön szervezete egyéb kulcsainak titkosítására.
Ebben az állapotban csak egy kulcs lehet. - Elforgatás
-
A Webex ideiglenesen használja ezt a CMK-t. A Webexnek szüksége van rá, hogy visszafejtse az ezzel a kulccsal korábban titkosított adatokat és kulcsokat. Ez a kulcs visszavonásra kerül, amikor a csere (újraszinkronizálás) befejeződött.
Több kulcs is lehet ebben az állapotban, ha az új kulcs aktiválva van a csere befejezése előtt. - Kivonva
-
A Webex nem használja ezt a CMK-t. Ez a kulcs már nem használható titkosításhoz. Be van állítva egy életre szóló kulcs, ami után a rendszer eltávolítja ezt a kulcsot a HSM-ből.
- Visszavonva
-
A Webex nem használja ezt a CMK-t. A Webex akkor sem tudja visszafejteni az adatokat és kulcsokat, ha vannak ezzel a kulccsal titkosított adatok és kulcsok.
- Csak akkor kell visszavonnia egy aktív kulcsot, ha azt gyanítja, hogy az sérült. Ez egy komoly döntés, mert megakadályozza, hogy sok művelet megfelelően viselkedjen. Például nem fog tudni új tereket létrehozni, és nem fogja tudni visszafejteni a tartalmat a Webex-kliensben.
- Ebben az állapotban csak egy kulcs lehet. Újra aktiválnia kell ezt a kulcsot egy új kulcs elforgatásához (újbóli titkosításához).
- Ez a CMK törölhető, de nem kell törölnie. A feltételezett biztonsági rés elhárítása után érdemes visszafejteni/újraszinkronizálni.
- Törölve
-
A Webex nem használja ezt a CMK-t. Ennek az állapotnak a viselkedése megegyezik a Visszavont állapottal, azzal a kivétellel, hogy van beállítva egy idő-to-live kulcs, ami után a kulcsot eltávolítja a HSM-ből.
- Ha egy törölt CMK Eltávolított állapotba lép, a szervezet működésének visszaállításához vissza kell állítania az eredeti kulcsot.
- Javasoljuk, hogy készítsen biztonsági másolatot az eredeti kulcsáról, különben a szervezete többé nem lesz működőképes.
- Eltávolítva
-
Ez egy logikai állapot. A Webex nem tárolja ezt a CMK-t a HSM-ben. Nem jelenik meg a Control Hubban.
Tulajdonjog
Ha átveszi a CMK tulajdonjogát, akkor:
- Vállaljon felelősséget a kulcsok biztonságos létrehozásáért és biztonsági másolatáért
- Tisztában van a kulcsok elvesztésének következményeivel
- Titkosítsa újra az aktív CMK-t legalább évente egyszer bevált gyakorlatként
Kulcs létrehozása
Ezen paraméterek használatával saját CMK-t kell létrehoznia. A kulcsának a következőnek kell lennie:
- 256 bit (32 bájt) hosszú
- Titkosítva az RSA-OAEP sémával
- Titkosítva a Webex cloud HSM nyilvános kulccsal
A kulcsgenerációs szoftvernek képesnek kell lennie a következőkre:
- SHA-256 hash függvény
- MGF1 maszk generálási függvény
- PKCS#1 OAEP padding
Lásd a Példa: Hozzon létre és titkosítson kulcsokat OpenSSL-lel ebben a cikkben az Erőforrások fülön.
Engedélyezés
Hozzá kell férnie a Webex szervezetéhez a Control Hubban. A CMK kezeléséhez teljes jogú rendszergazdának kell lennie.
| 1 | |
| 2 |
Válassza a menüpontot. A BYOK engedélyezéséhez kapcsolja be a BYOK (Hozza magával saját kulcsát) kapcsolót. Ha letiltja a BYOK-ot, a Webex közös alapértelmezett kulcsa lesz a szervezet fő kulcsa. |
| 3 |
Válassza az Egyéni kulcs feltöltése lehetőséget, majd kattintson a Tovább gombra. |
| 4 |
Kattintson a Nyilvános kulcs letöltése lehetőségre. Mentse a Webex HSM nyilvános kulcsát .pem fájlba a helyi rendszerében. |
| 5 |
Hozzon létre egy kriptográfiailag biztonságos 256-bites (32 bájtos) véletlenszerű kulcsot a kulcskezelő szoftver használatával. |
| 6 |
Használja a Webex HSM nyilvános kulcsát az új kulcs titkosításához. A szükséges titkosítási paraméterek a következők:
Lásd a Példa: Hozzon létre és titkosítson kulcsokat OpenSSL-lel ebben a cikkben az Erőforrások fülön.
|
| 7 |
Húzza át a fájlrendszerből a titkosított kulcsot, és helyezze a Control Hub felület feltöltési területére, vagy kattintson a Fájl kiválasztása gombra. |
| 8 |
Kattintson a Továbbgombra. A Webex feltölti a kulcsot a HSM-be, ahol a rendszer visszafejti és érvényesíti. Ezután a Control Hub megjeleníti az új CMK azonosítóját, valamint a jelenleg aktív CMK azonosítóját, ha van ilyen. Ha ez az első CMK-je, a jelenleg aktív kulcs a Webex közös alapértelmezett kulcs (ez az, amelyet jelenleg a szervezet kulcsainak titkosítására használunk). |
| 9 |
Válassza ki, hogyan szeretné aktiválni a kulcsát:
|
Mi a következő teendő
| 1 | |
| 2 |
Válassza a menüpontot. |
| 3 |
Lépjen az aktív CMK-be. |
| 4 |
Kattintson a |
| 5 |
Új kulcs létrehozása és titkosítása (ha még nem tette meg). A folyamatot ebben a cikkben az Ügyfél fő kulcsának létrehozása és aktiválása ismerteti.
|
| 6 |
Húzza át az új kulcsot a fájlrendszeréből, és húzza be a Control Hubba. |
| 7 |
Kattintson az Új kulcs aktiválása lehetőségre. Az Ön által feltöltött új kulcs Aktív állapotba kerül. A régi CMK rotációs (újraszinkron állapotban) marad, amíg a Webex befejezi az összes tartalmának titkosítását az új aktív CMK-vel. Az újraszinkronizálás után a kulcs Nyugdíjas állapotba kerül. A Webex ezután törli a régi CMK-t. |
gombra, és válassza a | 1 | |
| 2 |
Válassza a menüpontot. |
| 3 |
Lépjen a törölt kulcsra. |
| 4 |
Kattintson a |
| 5 |
Erősítse meg a kulcs helyreállítását. A visszaállítást követően a Control Hub a törlés előtt Visszavont állapotban mutatja a kulcsot. Ha például töröl egy visszavont kulcsot, majd visszaállítja a kulcsot, a Control Hub Visszavont állapotban jeleníti meg a visszaállított kulcsot.
|
Tulajdonjog
Az AWS KMS-kulcs tulajdonosává tételével a következőket kell tennie:
- Vállaljon felelősséget az AWS KMS-kulcsok biztonságos létrehozásáért és biztonsági mentéséért.
- Értse meg az AWS KMS-kulcsok elvesztésének következményeit.
- Legjobb gyakorlatként évente legalább egyszer titkosítsa újra az aktív AMS KMS-kulcsot.
Engedélyezés
- Fel kell hatalmaznia arra, hogy kulcsait létrehozza és kezelje az AWS KMS-ben a Webex-szervezete számára.
- Hozzá kell férnie a Webex szervezetéhez a Control Hubban. Az AWS KMS-kulcs kezeléséhez teljes jogú rendszergazdának kell lennie.
| 1 |
Jelentkezzen be az AWS rendszerébe, és lépjen az AWS KMS konzolra. |
| 2 |
Válassza az Ügyfél által kezelt kulcsok lehetőséget, majd kattintson a Kulcs létrehozása gombra. |
| 3 |
Hozza létre a kulcsot a következő attribútumokkal:
|
| 4 |
Kattintson a Továbbgombra. |
| 5 |
Ellenőrizze a beállításokat, majd kattintson a Befejezés gombra. Az AWS KMS-kulcs létrehozva.
|
| 6 |
Lépjen az Ügyfél által kezelt kulcsok menübe, és kattintson az Aliasra vagy a kulcs azonosítóra az ARN megtekintéséhez. |
Mi a következő teendő
Javasoljuk, hogy őrizze meg az RNS ideiglenes másolatát. Ez az ARN az AWS KMS-kulcs hozzáadására és aktiválására szolgál a Control Hubban.
| 1 |
Jelentkezzen be az AWS rendszerébe, és lépjen az AWS CloudShell konzolra. |
| 2 |
Futtassa a A KMS_CISCO_FELHASZNÁLÓI_ARN kizárólag az Ön szervezetére jellemző. Az ARN az AWS-kulcs hozzáadása ablakban jelenik meg, amikor az új AWK KMS-kulcsot aktiválja a Control Hubban. |
Mielőtt elkezdené
Létre kell hoznia egy AWS KMS-kulcsot, mielőtt aktiválja a Control Hubban. Olvassa el az AWS KMS-kulcs létrehozása című cikket ebben a cikkben.
Hozzáférést kell biztosítania a Webex számára az AWS KMS-kulcshoz. Olvassa el a cikk A Cisco KMS engedélyezése az AWS KMS-kulcshoz való hozzáféréssel című részét.
| 1 | |
| 2 |
Lépjen a elemre, és kapcsolja be a BYOK (Hozza magával saját kulcsát) kapcsolót. Ha letiltja a BYOK-ot, a Webex közös alapértelmezett kulcsa lesz a szervezet fő kulcsa. |
| 3 |
Válassza az AWS KMS-kulcs hozzáadása lehetőséget, majd kattintson a Tovább gombra. |
| 4 |
Szerezze be az ARN-t az AWS konzolról. |
| 5 |
Adja meg az ARN-t a Control Hubban, majd kattintson a Hozzáadás gombra. A kulcs ARN-je feltöltésre kerül a Cisco KMS-be, ahol a kulcshoz való hozzáférés érvényesül. Ezután a Control Hub megjeleníti Önnek az új AWS KMS-kulcs Cisco KMS-kulcsazonosítóját, valamint a jelenleg aktív Cisco KMS-kulcs azonosítóját, ha van ilyen. Ha ez az első AWS KMS-kulcs, a jelenleg aktív kulcs a Webex közös alapértelmezett kulcs (ez az, amelyet jelenleg a szervezet kulcsainak titkosítására használunk). |
| 6 |
Válassza ki, hogyan szeretné aktiválni a kulcsát:
|
| 1 |
Jelentkezzen be a Control Hub rendszerébe, és válassza a lehetőséget. |
| 2 |
Lépjen az aktív AWS KMS-kulcsra. |
| 3 |
Kattintson a |
| 4 |
Adja meg az új AWS KMS-kulcsát és az új ARN-t, majd kattintson a Hozzáadás gombra. A folyamatot ebben a cikkben az AMS KMS-kulcs hozzáadása és aktiválása ismerteti.
|
| 5 |
Kattintson az Aktiválás gombra. Az Ön által feltöltött új AWS KMS-kulcs Aktív állapotba kerül. A régi AWS KMS-kulcs Forgó állapotban marad, amíg a Webex be nem fejezi az összes tartalmának az új aktív AWS KMS-kulccsal való titkosítását. Újraszinkronizálás után a régi AWS KMS kulcs automatikusan eltűnik a Control Hubból. |
| 1 |
Jelentkezzen be a Control Hub rendszerébe, és válassza a lehetőséget. |
| 2 |
Kattintson a Másik kulcs hozzáadásagombra. |
| 3 |
Adja meg az új AWS KMS-kulcsát, majd kattintson a Hozzáadás gombra. A Control Hub megjeleníti az új AWS KMS-kulcs Cisco KMS-kulcsazonosítóját, valamint a jelenleg aktív Cisco KMS-kulcs azonosítóját. A folyamatot ebben a cikkben az AMS KMS-kulcs hozzáadása és aktiválása ismerteti. |
| 4 |
Kattintson az Aktiválás gombra. Az Ön által feltöltött új AWS KMS-kulcs Aktív állapotba kerül. A régi AWS KMS-kulcs Forgó állapotban marad, amíg a Webex be nem fejezi az összes tartalmának az új aktív AWS KMS-kulccsal való titkosítását. Újraszinkronizálás után a régi AWS KMS kulcs automatikusan eltűnik a Control Hubból. |
| 1 |
Jelentkezzen be a Control Hub rendszerébe, és válassza a lehetőséget. |
| 2 |
Lépjen a jelenleg aktív AWS KMS-kulcsra. |
| 3 |
Kattintson a |
| 4 |
Erősítse meg a kulcs visszavonását. A kulcs teljes visszavonása akár 10 percig is eltarthat. Az AWS KMS-kulcs Helyileg visszavont állapotba kerül.
|
Ha az ügyfél rendszergazdája visszavonja a kulcsot az AWS KMS konzolról, az AWS KMS kulcs a Control Hub „Visszavont az Amazon állapota” részében jelenik meg.
| 1 |
Jelentkezzen be a Control Hub rendszerébe, és válassza a lehetőséget. |
| 2 |
Lépjen a visszavont AWS KMS-kulcsra. |
| 3 |
Kattintson a |
| 4 |
Erősítse meg a kulcs törlését. A törlés után 30 napon belül visszaállíthatja a kulcsot. |
Javasoljuk, hogy először törölje az AWS KMS-kulcsot a Control Hubból, mielőtt törli a CMK-t az AWS konzolról. Ha törli a CMK-t az AWS-konzolról, mielőtt törli az AWS KMS-kulcsot a Control Hubban, problémákba ütközhet.
Mielőtt törli a CMK-t az AWS konzolról, győződjön meg arról, hogy az AWS KMS-kulcs már nem látható a Control Hubban.
| 1 |
Jelentkezzen be a Control Hub rendszerébe, és válassza a lehetőséget. |
| 2 |
Lépjen a törölt AWS KMS-kulcsra. |
| 3 |
Kattintson a |
| 4 |
Erősítse meg a kulcs helyreállítását. A visszaállítás után a Control Hub Visszavont állapotban jeleníti meg a kulcsot. |
Ha problémába ütközik az AWS KMS-kulcsával, a hibaelhárításhoz használja az alábbi információkat.
-
AWS KMS kulcs ARN. Például:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
AWS KMS kulcsállapot. Például az AWS KMS kulcs le van tiltva.
Ez a példa az OpenSSL parancssori eszközök 3.0-s verzióját használja. Ezekről az eszközökről az OpenSSL oldalon olvashat bővebben.
| 1 | |
| 2 |
Válassza a menüpontot. |
| 3 |
Kattintson a Nyilvános kulcs letöltése lehetőségre. A Webex HSM nyilvános kulcsát .pem fájlban szerezheti be a helyi rendszerében. |
| 4 |
256 bites (32 bájtos) kulcs létrehozása: A példa a main_key.bin fájlnevet használja a titkosítatlan új kulcshoz. Alternatív megoldásként létrehozhat 32 bájtos véletlenszerű értéket hexadecimális, Python vagy online generátorokkal. Létrehozhatja és kezelheti az AWS KMS-kulcsát is. |
| 5 |
Használja a Webex HSM nyilvános kulcsát az új kulcs titkosításához: A példa a main_key_encrypted.bin fájlnevet használja a titkosított kimeneti kulcshoz, a path/to/public.pem fájlnevet pedig a Webex nyilvános kulcsához. A titkosított kulcs készen áll a Control Hub rendszerébe történő feltöltésre. |
