A Webex alapértelmezés szerint eredendően biztonságos, és a szervezet összes titkosítási kulcsának titkosításához egy fő kulccsal rendelkezünk. Ha jobban szeretné kezelni a szervezete fő kulcsát, ezt megteheti a Control Hubbal és a preferált kulcskezelő eszközökkel.
A végpontok közötti biztonság iránti elkötelezettségünk részeként a Webex minden szervezet nevében rendelkezik egy fő kulccsal. Nevezzük fő kulcsnak, mert nem közvetlenül titkosítja a tartalmat, de a szervezet egyéb, a tartalmat titkosító kulcsainak titkosítására szolgál. A kulcshierarchia alapszintjét tartalmi kulcsnak (CK), a kulcsok közbenső szintjeit pedig kulcstitkosítási kulcsnak (KEK) nevezzük.
Tisztában vagyunk azzal, hogy egyes szervezetek szívesebben kezelik a saját biztonságukat, ezért lehetőséget adunk Önnek arra, hogy saját ügyfél-főkulcsát (CMK) kezelje. Ez azt jelenti, hogy Ön vállalja a felelősséget a Webex által a tartalom-titkosítási kulcsok titkosításához használt fő kulcs létrehozásáért és elforgatásáért (újratitkosításáért).
A továbbiakban a kulcs a CMK-ra vonatkozik, hacsak nincs másképp megadva.
Hogyan működik
A Webex a CMK-t egy hardveres biztonsági modulban (HSM) tartja, így a Webex -szolgáltatások nem férhetnek hozzá a CMK-értékhez.
A Control Hub megjeleníti a jelenleg aktív vagy visszavont CMK-t, valamint a HSM-ben tárolt függőben lévő CMK-kat. Amikor el kell forgatnia (újratitkosítása) a CMK-nak, elő kell állítania az új CMK-t, és titkosítani kell a HSM nyilvános kulcsával, így csak a HSM tudja visszafejteni és tárolni.
Ezután töltse fel és aktiválja az új CMK-t a Control Hubban. A Webex azonnal elkezdi használni az új CMK-t a tartalmi kulcsok titkosításához. A Webex megtartja a régi CMK-t, de csak addig, amíg nem bizonyosodik meg arról, hogy az Ön tartalomtitkosítási kulcsait az új CMK védi.
Visszamenőleg nem titkosítjuk újra az összes meglévő tartalmat. A CMK aktiválását követően minden új tartalom (tárhely és értekezletek) újratitkosított és védett lesz. |
Tisztában vagyunk azzal, hogy egyes szervezetek szívesebben kezelik a saját kulcsukat a Webex kívül. Ezért biztosítjuk a lehetőséget, hogy saját CMK-ját az Amazon web Services (AWS) Kulcskezelési szolgáltatásban (KMS) kezelje. Ez azt jelenti, hogy Ön felelős a kulcsok kezeléséért az AWS KMS-ben. Ön engedélyezi a Webex számára, hogy az AWS-konzolon keresztül titkosítsa és fejtse vissza az AWS KMS-kulcsát. A Webex számára az AWS KMS- azonosító adja meg a CMK helyett. Ez azt jelenti, hogy Ön vállalja a felelősséget annak az AWS KMS-kulcsnak a létrehozásáért és elforgatásáért (újratitkosításáért), amelyet a Webex a tartalomtitkosítási kulcsok felhőben történő titkosításához használ.
Hogyan működik
Hozzon létre egy kulcsot az AWS segítségével. Az AWS KMS a kulcsok kezelésére szolgál, és a kulcsot egy hardveres biztonsági modulban (HSM) tárolja.
Ön az AWS-konzolon keresztül biztosítja a Webex számára az AWS KMS-kulcs használatához való hozzáférést.
Ez azt jelenti, hogy ahelyett, hogy feltöltené a CMK-t a Control Hub rendszerébe, hozzáférést kell biztosítania a Webex számára az AWS KMS-kulcsához. Az AWS KMS-kulcs nem hagyja el az AWS KMS-t, a Webex -szolgáltatások pedig nem férnek hozzá az AWS KMS-kulcs anyagához.
A Control Hub megjeleníti a jelenleg aktív vagy visszavont AWS KMS-kulcsot, valamint az AWS KMS-ben tárolt függőben lévő AWS KMS-kulcsokat. Amikor el kell forgatnia az AWS KMS-kulcsot, az AWS KMS-konzollal kell előállítania az új AWS KMS-kulcsot.
Ezután adja hozzá és aktiválja az új AWS KMS-kulcsot a Control Hubban, megadva neki az új AWS KMS-kulcs Amazon-erőforrásnevét (ARN). A Webex azonnal elkezdi használni az új AWS KMS-kulcsot a tartalmi kulcsok titkosításához. A Webex már nincs szüksége a régi AWS KMS-kulcsra. A régi AWS KMS-kulcs eltűnik a Control Hubból, miután a tartalom-titkosítási kulcsokat elforgatták, és az új AWS KMS-kulcs biztonságossá teszi őket. A Webex nem törli az AWS KMS-kulcsot az AWS KMS-ből. Az ügyfél-rendszergazda eltávolíthatja a kulcsot az AWS KMS-ből.
Kulcséletciklus
Kulcsállapot-definíciók
- Függőben
-
Az ebben az állapotban lévő kulcsot a HSM tárolja, de titkosításra még nem használják. A Webex nem ezt a CMK-t használja a titkosításhoz.
Csak egy kulcs lehet ebben az állapotban. - Aktív
-
A Webex jelenleg ezt a CMK-t használja a szervezet más kulcsainak titkosításához.
Csak egy kulcs lehet ebben az állapotban. - Forgatás
-
A Webex ideiglenesen ezt a CMK-t használja. A Webex szüksége van rá az Ön által korábban ezzel a kulccsal titkosított adatok és kulcsok visszafejtéséhez. Ez a kulcs megszűnik, amikor a rotáció (újratitkosítás) befejeződött.
Több kulcs is lehet ebben az állapotban, ha egy új kulcsot aktiválnak a forgatás befejezése előtt. - Nyugdíjas
-
A Webex nem használja ezt a CMK-t. Ezt a kulcsot már nem használják titkosításra. A kulcs élettartamának beállítása megtörténik, majd ezt követően eltávolítja a kulcsot a HSM-ből.
- Visszavonva
-
A Webex nem használja ezt a CMK-t. Még ha vannak is ezzel a kulccsal titkosított adatok és kulcsok, a Webex nem tudja ezt használni az adatok és kulcsok visszafejtésére.
- Csak akkor kell visszavonnia egy aktív kulcsot, ha azt gyanítja, hogy feltört. Ez komoly döntés, mert sok műveletet megakadályoz abban, hogy megfelelően működjenek. Például nem tud majd új tárhelyeket létrehozni, és nem tud majd semmilyen tartalmat visszafejteni a Webex Client alkalmazásban.
- Csak egy kulcs lehet ebben az állapotban. Újraaktiválnia kell ezt a kulcsot egy új kulcs elforgatásához (újratitkosításához).
- Ez a CMK törölhető, de nem kell törölnie. Érdemes lehet megőrizni a visszafejtés/újratitkosítás céljából, miután megoldotta a feltételezett biztonsági rést.
- Törölve
-
A Webex nem használja ezt a CMK-t. A viselkedés ebben az állapotban ugyanaz, mint a visszavont állapotban, azzal a különbséggel, hogy egy kulcs élettartama be van állítva, amely után ez a kulcs eltávolításra kerül a HSM-ből.
- Ha egy törölt CMK Eltávolított állapotba kerül, vissza kell állítania az eredeti kulcsot a szervezet működésének visszaállításához.
- Javasoljuk, hogy készítsen biztonsági másolatot az eredeti kulcsáról, ellenkező esetben a szervezet működésképtelenné válik.
- Eltávolítva
-
Ez egy logikai állapot. A Webex nem tárolja ezt a CMK-t a HSM-ben. Nem jelenik meg a Control Hubban.
Tulajdonjog
A CMK tulajdonjogának átvételével a következőket kell tennie:
- Vállalja a felelősséget a kulcsok biztonságos létrehozásáért és biztonsági mentéséért
- Ismerje meg a kulcsok elvesztésének következményeit
- Bevált gyakorlatként legalább évente egyszer titkosítsa újra aktív CMK-ját
Kulcs létrehozása
Saját CMK-t kell létrehoznia ezekkel a paraméterekkel. A kulcsának a következőnek kell lennie:
- 256 bit (32 bájt) hosszú
- Az RSA-OAEP sémával titkosítva
- Titkosítva a Webex felhő HSM nyilvános kulccsal
A kulcsgeneráló szoftvernek képesnek kell lennie a következőkre:
- SHA-256 hash függvény
- MGF1 maszk generálás funkció
- PKCS#1 OAEP kitöltés
Lásd: Példa: Hozzon létre és titkosítson kulcsokat OpenSSL-lel a cikk Erőforrások lapján.
Engedélyezés
A Control Hubban hozzáféréssel kell rendelkeznie a Webex -szervezethez. Biztosan Ön a teljes rendszergazda hogy kezelje a CMK-ját.
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: .A BYOK engedélyezéséhez váltson át Hozd a saját kulcsodat (BYOK) on. Ha letiltja a BYOK-ot, a Webex közös alapértelmezett kulcs szervezete fő kulcsává válik. |
3 | Válassza ki Egyéni kulcs feltöltése és kattintson Következő . |
4 | Kattintson Nyilvános kulcs letöltése . Mentse el a Webex HSM nyilvános kulcsot egy .pem fájlba a helyi rendszeren. |
5 | Hozzon létre egy titkosítási szempontból biztonságos 256 bites (32 bájt) véletlenszerű kulcsot a kulcskezelő szoftver segítségével. |
6 | Használja a Webex HSM nyilvános kulcsot az új kulcs titkosításához. A szükséges titkosítási paraméterek a következők:
Lásd: Példa: Hozzon létre és titkosítson kulcsokat OpenSSL-lel a cikk Erőforrások lapján.
|
7 | Húzza el a titkosított kulcsot a fájlrendszerből, és dobja be a Control Hub felület feltöltési területére, vagy kattintson Válasszon ki egy fájlt . |
8 | Kattintson a Tovább gombra. A Webex feltölti a kulcsot a HSM-be, ahol visszafejti és hitelesíti azt. Ezután a Control Hub megjeleníti az új CMK azonosító , valamint a jelenleg aktív CMK azonosító , ha van ilyen. Ha ez az első CMK-ja, akkor az aktuálisan aktív kulcs a Webex közös alapértelmezett kulcs (amelyet jelenleg a szervezete kulcsainak titkosítására használunk). |
9 | Válassza ki, hogyan szeretné aktiválni a kulcsát:
|
Mi a következő teendő
Visszamenőleg nem titkosítjuk újra az összes meglévő tartalmat. A CMK aktiválását követően minden új tartalom (tárhely és értekezlet) újratitkosított és védett lesz. |
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: . |
3 | Lépjen az aktív CMK-hoz. |
4 | Kattintásés válassza ki a lehetőséget Forgatás . |
5 | Hozzon létre és titkosítson egy új kulcsot (ha még nem tette volna meg). A folyamat leírása a Hozzon létre és aktiválja az ügyfél fő kulcsát ebben a cikkben.
|
6 | Húzza el az új kulcsot a fájlrendszerből, és dobja be a Control Hub alkalmazásba. |
7 | Kattintson Új kulcs aktiválása . A feltöltött új kulcs Aktív állapotba kerül. A régi CMK rotációs (újratitkosítási állapotban) marad mindaddig, amíg a Webex be nem fejezi az összes tartalom titkosítását az új aktív CMK-val. Az újratitkosítás után a kulcs Visszavont állapotba kerül. A Webex ezután törli a régi CMK-t. |
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: . |
3 | Lépjen az aktív kulcsra. |
4 | Kattintásés válassza ki a lehetőséget Visszavonás lehetőségre . |
5 | Erősítse meg a kulcs visszavonását. Akár 10 percig is eltarthat a kulcs teljes visszavonása.
|
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: . |
3 | Lépjen az aktuálisan visszavont kulcsra. |
4 | Kattintásés válassza ki a lehetőséget Aktiválás . |
5 | Erősítse meg a kulcs aktiválását. A korábban visszavont kulcs aktív állapotba kerül.
|
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: . |
3 | Lépjen a visszavont kulcsra. |
4 | Kattintásés válassza ki a lehetőséget Törlés lehetőségre . |
5 | Erősítse meg a kulcs törlését. A törlést követően 30 napon belül lehetősége van a kulcs visszaállítására.
|
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: . |
3 | Lépjen a törölt kulcsra. |
4 | Kattintásés válassza ki a lehetőséget Törlés visszavonása . |
5 | Erősítse meg a kulcs-visszaállítást. A visszaállítás után a Control Hub a törlés előtti Visszavont állapotú kulcsot jeleníti meg. Ha például töröl egy visszavont kulcsot, majd visszaállítja a kulcsot, a Control Hub a visszaállított kulcsot visszavont állapotban jeleníti meg.
|
Tulajdonjog
Az AWS KMS-kulcs tulajdonjogának átvételével a következőket kell tennie:
- Vállalja a felelősséget az AWS KMS-kulcsok biztonságos létrehozásáért és biztonsági mentéséért.
- Ismerje meg az AWS KMS-kulcsok elvesztésének következményeit.
- Bevált gyakorlatként legalább évente egyszer titkosítsa újra aktív AMS KMS-kulcsát.
Engedélyezés
- Engedélyezettnek kell lennie a kulcsok létrehozásához és kezeléséhez az AWS KMS-ben a Webex -szervezete számára.
- A Control Hubban hozzáféréssel kell rendelkeznie a Webex -szervezethez. Biztosan Ön a teljes rendszergazda hogy kezelje az AWS KMS-kulcsát.
1 | Jelentkezzen be ide: AWS és lépjen az AWS KMS konzolra. |
2 | Válassza ki Ügyfél által kezelt kulcsok majd kattintson a lehetőségre Kulcs létrehozása . |
3 | Hozd létre a kulcsot a következő attribútumokkal:
|
4 | Kattintson a Tovább gombra. |
5 | Tekintse át a beállításait, és kattintson a lehetőségre Befejezés . Az AWS KMS-kulcsa létrejött.
|
6 | Ugrás ide: Ügyfél által kezelt kulcsok és kattintson az azonosító vagy a Kulcsazonosítóra az ARN megtekintéséhez. |
Mi a következő teendő
Javasoljuk, hogy őrizze meg az ARN egy ideiglenes példányát. Ez az ARN használható az AWS KMS-kulcs hozzáadására és aktiválására a Control Hubban.
1 | Jelentkezzen be ide: AWS és lépjen az AWS CloudShell-konzolra. | ||
2 | Futtatás Például:
|
Mielőtt elkezdené
Létre kell hoznia egy AWS KMS-kulcsot, mielőtt aktiválná a Control Hubban. Lásd: Hozzon létre egy AWS KMS-kulcsot ebben a cikkben.
A Webex számára hozzáférést kell biztosítania az AWS KMS-kulcshoz. Lásd: Engedélyezze a Cisco KMS-t az AWS KMS-kulcshoz való hozzáféréssel ebben a cikkben.
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: Hozd a saját kulcsodat (BYOK) on. , és váltsonHa letiltja a BYOK-ot, a Webex közös alapértelmezett kulcs szervezete fő kulcsává válik. |
3 | Válassza ki Adjon hozzá AWS KMS-kulcsot és kattintson Következő . |
4 | Szerezze be az ARN-t az AWS-konzolról. |
5 | Adja meg az ARN-t a Control Hubban, majd kattintson Hozzáadás . A kulcs ARN feltöltődik a Cisco KMS-be, ahol a kulcshoz való hozzáférés érvényesítése megtörténik. Ezután a Control Hub megjeleníti az új AWS KMS-kulcs Cisco KMS-kulcs- azonosító , valamint a jelenleg aktív Cisco KMS-kulcs- azonosító, ha van ilyen. Ha ez az első AWS KMS-kulcsa, akkor a jelenleg aktív kulcs a Webex közös alapértelmezett kulcs (amelyet jelenleg a szervezete kulcsainak titkosítására használunk). |
6 | Válassza ki, hogyan szeretné aktiválni a kulcsát:
|
1 | Jelentkezzen be ide: Control Hub , majd lépjen ide: . |
2 | Lépjen az aktív AWS KMS-kulcsra. |
3 | Kattintásés válassza ki a lehetőséget Forgatás . |
4 | Adja meg az új AWS KMS-kulcsot és az új ARN-t, majd kattintson Hozzáadás . A folyamat leírása a Adja hozzá és aktiválja az AMS KMS-kulcsát ebben a cikkben.
|
5 | Kattintson Aktiválás . A feltöltött új AWS KMS-kulcs Aktív állapotba kerül. A régi AWS KMS-kulcs Forgó állapotban marad mindaddig, amíg a Webex be nem fejezi az összes tartalom titkosítását az új Aktív AWS KMS-kulccsal. Az újratitkosítás után a régi AWS KMS-kulcs automatikusan eltűnik a Control Hubról. |
1 | Jelentkezzen be ide: Control Hub , majd lépjen ide: . |
2 | Kattintson Adjon hozzá egy másik kulcsot . |
3 | Adja meg az új AWS KMS-kulcsát, majd kattintson Hozzáadás . A Control Hub megjeleníti az új AWS KMS-kulcs Cisco KMS- azonosító , valamint a jelenleg aktív Cisco KMS-kulcs- azonosító azonosító. A folyamat leírása a Adja hozzá és aktiválja az AMS KMS-kulcsát ebben a cikkben. |
4 | Kattintson Aktiválás . A feltöltött új AWS KMS-kulcs Aktív állapotba kerül. A régi AWS KMS-kulcs Forgó állapotban marad mindaddig, amíg a Webex be nem fejezi az összes tartalom titkosítását az új Aktív AWS KMS-kulccsal. Az újratitkosítás után a régi AWS KMS-kulcs automatikusan eltűnik a Control Hubról. |
1 | Jelentkezzen be ide: Control Hub , majd lépjen ide: . |
2 | Lépjen a jelenleg aktív AWS KMS-kulcsra. |
3 | Kattintásés válassza ki a lehetőséget Helyi visszavonás . |
4 | Erősítse meg a kulcs visszavonását. Akár 10 percig is eltarthat a kulcs teljes visszavonása. Az AWS KMS-kulcs Helyileg visszavont állapotba kerül.
|
Ha az ügyfél-rendszergazda visszavonja a kulcsot az AWS KMS-konzolról, akkor az AWS KMS-kulcs az Amazon által visszavonva állapotában jelenik meg a Control Hubban. |
1 | Jelentkezzen be ide: Control Hub , majd lépjen ide: . |
2 | Lépjen a visszavont AWS KMS-kulcshoz. |
3 | Kattintásés válassza ki a lehetőséget Törlés lehetőségre . |
4 | Erősítse meg a kulcs törlését. A törlést követően 30 napon belül visszaállíthatja a kulcsot. |
Javasoljuk, hogy először törölje az AWS KMS-kulcsot a Control Hubból, mielőtt törölné a CMK-t az AWS-konzolról. Ha az AWS KMS-kulcs Control Hubban való törlése előtt törli a CMK-t az AWS-konzolról, problémákba ütközhet. Mielőtt törli a CMK-t az AWS-konzolról, győződjön meg arról, hogy az AWS KMS-kulcs már nem látható a Control Hubban. |
1 | Jelentkezzen be ide: Control Hub , majd lépjen ide: . |
2 | Lépjen a törölt AWS KMS-kulcshoz. |
3 | Kattintásés válassza ki a lehetőséget Törlés visszavonása . |
4 | Erősítse meg a kulcs-visszaállítást. A visszaállítás után a Control Hub visszavont állapotban mutatja a kulcsot. |
Ha problémába ütközik az AWS KMS-kulcsával, használja az alábbi információkat a hibaelhárításhoz.
AWS KMS-kulcs ARN. Például:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.AWS KMS-kulcs állapota. Például az AWS KMS-kulcs le van tiltva.
Ez a példa az OpenSSL parancssori eszközök 3.0-s verzióját használja. Lásd OpenSSL ha többet szeretne megtudni ezekről az eszközökről.
1 | Jelentkezzen be ide: Control Hub . |
2 | Ugrás ide: . |
3 | Kattintson Nyilvános kulcs letöltése . A Webex HSM nyilvános kulcsot egy .pem fájlban kapja meg a helyi rendszeren. |
4 | Hozzon létre egy 256 bites (32 bájtos) kulcsot: A példa a fájlnevet használjamain_key .bin a titkosítatlan új kulcshoz. Másik lehetőségként létrehozhat egy 32 bájtos véletlenszerű értéket Hex dump, Python vagy online generátorok használatával. Ön is megteheti létrehozhatja és kezelheti az AWS KMS-kulcsát . |
5 | Használja a Webex HSM nyilvános kulcsot az új kulcs titkosításához:
A példa a fájlnevet használjamain_key_encrypted .bin a titkosított kimeneti kulcshoz, és a fájlnevet path/to/public.pem a Webex nyilvános kulcshoz. A titkosított kulcs készen áll a feltöltésre a Control Hub rendszerébe. |