Come parte del nostro impegno per la sicurezza end-to-end, Webex detiene una chiave principale per conto di ciascuna organizzazione. La chiamiamo chiave principale perché non crittografa il contenuto direttamente, ma viene utilizzata per crittografare le altre chiavi della tua organizzazione che crittografano il contenuto. Il livello base della gerarchia di chiavi è denominato chiave del contenuto (CK) mentre i livelli intermedi delle chiavi sono denominati chiavi di crittografia della chiave (KEK).

Riconosciamo che alcune organizzazioni preferiscono gestire la propria sicurezza, pertanto, abbiamo la possibilità di gestire la chiave principale del cliente (CMK). Ciò significa che ti assumi la responsabilità di creare e ruotare (crittografia) la chiave principale utilizzata da Webex per crittografare le chiavi di crittografia del contenuto.

In futuro, una chiave si riferisce alla CMK se non diversamente specificato.

Come funziona
  1. Webex conserva la CMK in un modulo di sicurezza hardware (HSM) in modo che i servizi Webex non abbiano accesso al valore CMK.

  2. Control Hub mostra la CMK attualmente attiva o revocata e qualsiasi CMK in sospeso memorizzata nel modulo HSM. Quando è necessario ruotare (crittografare) il CMK, generare il nuovo CMK e crittografarlo con la chiave pubblica dell'HSM, in modo che solo l'HSM possa decrittografarlo e memorizzarlo.

  3. Quindi, caricare e attivare la nuova CMK in Control Hub. Webex inizia immediatamente a utilizzare la nuova CMK per crittografare le chiavi del contenuto. Webex conserva la CMK precedente, ma solo finché non è sicuro che le chiavi di crittografia del contenuto siano protette dalla nuova CMK.


 
Non crittografiamo retroattivamente tutti i contenuti esistenti. Una volta attivato il CMK, tutti i nuovi contenuti (spazi e riunioni) vengono ricrittografati e protetti.

Riconosciamo che alcune organizzazioni preferiscono gestire la propria chiave al di fuori di Webex. Ecco perché ti offriamo la possibilità di gestire il tuo CMK in Amazon Web Services (AWS) Key Management Service (KMS). Ciò implica che sei responsabile della gestione delle tue chiavi in AWS KMS. È possibile autorizzare Webex a crittografare e decrittografare utilizzando la chiave KMS AWS attraverso la console AWS. Fornisci a Webex il tuo ID chiave KMS AWS anziché il tuo CMK. Ciò significa che ti assumi la responsabilità di creare e ruotare (ricrittografare) la chiave KMS AWS che Webex utilizza per crittografare le chiavi di crittografia del contenuto nel cloud.

Come funziona

  1. Si crea una chiave con AWS. L'AWS KMS viene utilizzato per gestire la chiave e memorizzare la chiave in un modulo di sicurezza hardware (HSM).

  2. È possibile fornire a Webex l'accesso per utilizzare il tasto KMS AWS tramite la console AWS.

    Ciò significa che anziché caricare il tuo CMK in Control Hub, fornisci a Webex l'accesso alla chiave KMS AWS. La chiave AWS KMS non lascia il tuo AWS KMS e i servizi Webex non hanno accesso al materiale chiave AWS KMS.

    Control Hub mostra la chiave KMS AWS attualmente attiva o revocata e qualsiasi chiave KMS AWS in sospeso memorizzata in KMS AWS. Quando è necessario ruotare la chiave KMS AWS, è possibile generare la nuova chiave KMS AWS con la console KMS AWS.

  3. Successivamente, aggiungi e attiva la nuova chiave KMS AWS in Control Hub, fornendo il nome della risorsa Amazon (ARN) della nuova chiave KMS AWS. Webex inizia immediatamente a utilizzare la nuova chiave KMS AWS per crittografare le chiavi del contenuto. Webex non richiede più la vecchia chiave KMS AWS. La vecchia chiave KMS AWS scompare da Control Hub dopo che le chiavi di crittografia del contenuto vengono ruotate e protette dalla nuova chiave KMS AWS. Webex non elimina la chiave AWS KMS da AWS KMS. L'amministratore del cliente può rimuovere la chiave da AWS KMS.

Ciclo di vita chiave

Definizioni degli stati chiave
In sospeso

Una chiave in questo stato viene archiviata nel modulo HSM ma non viene ancora utilizzata per la crittografia. Webex non utilizza questa CMK per la crittografia.


 
Solo una chiave può essere in questo stato.
Attivo

Webex utilizza attualmente questa CMK per crittografare altre chiavi dell'organizzazione.


 
Solo una chiave può essere in questo stato.
Rotazione

Webex utilizza temporaneamente questa CMK. Webex lo richiede per decrittografare i dati e le chiavi precedentemente crittografati da questa chiave. Questa chiave viene disattivata al termine della rotazione (ricrittografia).


 
Più chiavi possono essere in questo stato se viene attivata una nuova chiave prima del completamento della rotazione.
Ritirato

Webex non utilizza questa CMK. Questa chiave non viene più utilizzata per la crittografia. Viene impostato un tempo di permanenza in diretta per la chiave, dopo il quale la chiave viene rimossa dal modulo HSM.

Revocato

Webex non utilizza questa CMK. Anche se sono presenti dati e chiavi crittografati con questa chiave, Webex non può utilizzarla per decrittografare dati e chiavi.


 
  • È necessario revocare una chiave attiva solo se si sospetta che sia compromessa. Questa è una decisione seria perché impedisce il corretto funzionamento di molte operazioni. Ad esempio, non sarà possibile creare nuovi spazi e non sarà possibile decrittografare alcun contenuto nel client Webex .
  • Solo una chiave può essere in questo stato. È necessario riattivare questa chiave per ruotare (crittografare) una nuova chiave.
  • Questa CMK può essere eliminata, ma non è necessario eliminarla. Dopo aver risolto la presunta violazione della sicurezza, è possibile conservarla per la decrittografia/crittografia.
Eliminato

Webex non utilizza questa CMK. Il funzionamento in questo stato è uguale allo stato Revoked, ad eccezione del fatto che viene impostato un tempo di permanenza in diretta della chiave, dopodiché la chiave viene rimossa dal modulo HSM.


 
  • Se una CMK eliminata passa allo stato Rimosso, è necessario recuperare la chiave originale per ripristinare la funzionalità per l'organizzazione.
  • È consigliabile conservare una copia di backup della chiave originale, altrimenti l'organizzazione non sarà più funzionale.
Rimosso

Questo è uno stato logico. Webex non dispone di questa CMK memorizzata nel modulo HSM. Non viene visualizzato in Control Hub.

Proprietà

Per assumere la proprietà della CMK, è necessario:

  • Assumersi la responsabilità della creazione sicura e del backup delle chiavi
  • Comprendere le implicazioni della perdita delle chiavi
  • Crittografare la CMK attiva almeno una volta all'anno come procedura consigliata
Creazione chiave

È necessario creare la propria CMK utilizzando questi parametri. La chiave deve essere la seguente:

  • 256 bit (32 byte).
  • Crittografato con lo schema RSA-OAEP
  • Crittografato con la chiave pubblica HSM cloud Webex

Il software di generazione delle chiavi deve essere in grado di:

  • Funzione hash SHA-256
  • Funzione di generazione della maschera MGF1
  • PKCS#1 Padding OAEP

Fare riferimento a Esempio: Crea e crittografa le chiavi con OpenSSL nella scheda Risorse in questo articolo.

Autorizzazione

È necessario disporre dell'accesso all'organizzazione Webex in Control Hub. Devi essere un amministratore completo per gestire la CMK.

1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

Per abilitare il BYOK, attivare/disattivare BYOK (Bring Your Own Key) attivo. Se si disabilita il BYOK, il file Chiave predefinita comune Webex diventa la chiave principale per l'organizzazione.

3

Selezionare Carica una chiave personalizzata e fare clic su Avanti.

4

Fare clic su Scarica chiave pubblica .

Salvare la chiave pubblica di Webex HSM in un file .pem sul sistema locale.

5

Creare una chiave casuale a 256 bit (32 byte) crittograficamente protetta utilizzando il software di gestione delle chiavi.

6

Utilizzare la chiave pubblica Webex HSM per crittografare la nuova chiave.

I parametri di crittografia richiesti sono:

  • Schema RSA-OAEP
  • Funzione hash SHA-256
  • Funzione di generazione della maschera MGF1
  • PKCS#1 Padding OAEP
Fare riferimento a Esempio: Crea e crittografa le chiavi con OpenSSL nella scheda Risorse in questo articolo.
7

Trascinare la chiave crittografata dal file system e rilasciarla nell'area di caricamento dell'interfaccia di Control Hub, oppure fare clic su Scegliere un file .

8

Fai clic su Avanti.

Webex carica la chiave nel modulo HSM, dove viene decrittografata e convalidata. Quindi Control Hub mostra l' ID della nuova CMK e l' ID della CMK attualmente attiva, se presente.

Se questa è la prima CMK, la chiave attualmente attiva è la Chiave predefinita comune Webex (quella attualmente utilizzata per la crittografia delle chiavi della tua organizzazione).

9

Scegli come attivare la chiave:

  • Attiva nuova chiave : La nuova CMK passa immediatamente allo stato attivo. Il CMK attivo in precedenza passa a rotazione (stato di crittografia), fino a quando tutto il contenuto viene protetto dal nuovo CMK, dopodiché Webex elimina il CMK attivo in precedenza.
  • Attiva successivamente : La nuova CMK passa allo stato In sospeso. Webex conserva questa CMK nel modulo HSM, ma non la utilizza ancora. Webex continua a utilizzare la CMK attualmente attiva per la crittografia delle chiavi della tua organizzazione.

Operazioni successive


 
Non crittografiamo retroattivamente tutti i contenuti esistenti. Una volta attivato il CMK, tutti i nuovi contenuti (spazi e riunioni) verranno ricrittografati e protetti.
1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

3

Andare alla CMK attiva.

4

Fare clice selezionare Ruota.

5

Creare e crittografare una nuova chiave (se non è stata ancora eseguita).

Il processo è descritto in Creare e attivare la chiave principale cliente in questo articolo.
6

Trascina la nuova chiave dal file system e rilasciala in Control Hub.

7

Fare clic su Attiva nuova chiave .

La nuova chiave caricata passa allo stato Attivo.

Il vecchio CMK rimane in rotazione (stato di crittografia) fino a quando Webex termina la crittografia di tutto il suo contenuto con il nuovo CMK attivo. Dopo aver crittografato nuovamente, la chiave si sposta nello stato ritirato. Webex elimina quindi la CMK precedente.

1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

3

Andare alla chiave attiva.

4

Fare clice selezionare Revoca.

5

Confermare la revoca della chiave.

La revoca completa della chiave può richiedere fino a 10 minuti.
1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

3

Andare alla chiave attualmente revocata.

4

Fare clice selezionare Attiva.

5

Confermare l'attivazione della chiave.

La chiave revocata in precedenza passa allo stato attivo.
1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

3

Andare alla chiave revocata.

4

Fare clice selezionare Elimina.

5

Confermare l'eliminazione della chiave.

Una volta eliminata, è possibile ripristinare la chiave entro 30 giorni.
1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

3

Andare alla chiave eliminata.

4

Fare clice selezionare Annulla eliminazione.

5

Confermare il ripristino della chiave.

Una volta ripristinato, Control Hub mostra la chiave nello stato Revocato prima che venga eliminata. Ad esempio, se si elimina una chiave revocata e la si ripristina, Control Hub mostra la chiave ripristinata nello stato Revocato.

Proprietà

Assumendo il controllo della chiave KMS AWS, è necessario:

  • Assumersi la responsabilità della creazione sicura e del backup delle chiavi KMS AWS.
  • Capire le implicazioni di perdere le chiavi KMS AWS.
  • Crittografare la chiave AMS KMS attiva almeno una volta all'anno come procedura consigliata.
Autorizzazione
  • Devi essere autorizzato a creare e gestire le tue chiavi in AWS KMS per la tua organizzazione Webex.
  • È necessario disporre dell'accesso all'organizzazione Webex in Control Hub. Per gestire la chiave KMS AWS, è necessario essere un amministratore completo.
1

Accedere a AWS e andare alla console KMS AWS.

2

Selezionare le chiavi gestite dal cliente, quindi fare clic su Crea chiave.

3

Creare la chiave con i seguenti attributi:

  • Tipo di chiave: selezionare Simmetrico.
  • Utilizzo chiave: selezionare Crittografia e decrittografia.
  • Etichette: immettere alias, descrizione e tag.
  • Amministratori chiave: selezionare gli utenti e i ruoli amministratore chiave della propria organizzazione.
  • Eliminazione tasti: selezionare Consenti agli amministratori dei tasti di eliminare questo tasto.
  • Utenti chiave: selezionare gli utenti chiave e i ruoli della propria organizzazione.
4

Fai clic su Avanti.

5

Rivedere le impostazioni e fare clic su Fine.

La chiave KMS AWS viene creata.
6

Andare a Chiavi gestite dal cliente e fare clic sull'alias o sull'ID chiave per visualizzare l'ARN.

Operazioni successive

Si consiglia di conservare una copia temporanea dell'ARN. Questo ARN viene utilizzato per aggiungere e attivare la chiave KMS AWS in Control Hub.

1

Accedere a AWS e andare alla console AWS CloudShell.

2

Esegui create-grant per autorizzare Webex come segue:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}
Ad esempio:
aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
            

 
Il KMS_CISCO_USER_ARN è specifico della tua organizzazione. L'ARN viene visualizzato nella finestra Aggiungi chiave AWS quando si attiva la nuova chiave AWK KMS in Control Hub.

Operazioni preliminari

Devi creare una chiave KMS AWS prima di attivarla in Control Hub. Fare riferimento a Crea una chiave AWS KMS in questo articolo.

È necessario fornire a Webex l'accesso alla chiave KMS AWS. Fare riferimento a Autorizza Cisco KMS con accesso alla chiave KMS AWS in questo articolo.

1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti e attiva Bring Your Own Key (BYOK).

Se si disabilita il BYOK, il file Chiave predefinita comune Webex diventa la chiave principale per l'organizzazione.

3

Selezionare Aggiungi chiave KMS AWS e fare clic su Avanti.

4

Ottenere l'ARN dalla console AWS.

5

Inserisci l'ARN in Control Hub e fai clic su Aggiungi.

La chiave ARN viene caricata in Cisco KMS, dove viene convalidato l'accesso alla chiave. Quindi Control Hub mostra l'ID chiave Cisco KMS della nuova chiave KMS AWS e l'ID chiave Cisco KMS attualmente attivo, se presente.

Se questa è la tua prima chiave KMS AWS, la chiave attualmente attiva è la chiave predefinita comune Webex (quella attualmente utilizzata per la crittografia delle chiavi della tua organizzazione).

6

Scegli come attivare la chiave:

  • Attivare: La nuova chiave AWS KMS entra immediatamente nello stato Attivo.
  • Attiva successivamente : La nuova chiave AWS KMS si sposta nello stato in sospeso. Webex mantiene questa chiave AWS KMS ARN in Cisco KMS, ma non la utilizza ancora. Webex continua a utilizzare la chiave KMS AWS attualmente attiva per crittografare le chiavi della tua organizzazione.
1

Accedi a Control Hub e vai a Impostazioni organizzazione > Gestione chiavi.

2

Andare alla chiave KMS AWS attiva.

3

Fare clice selezionare Ruota.

4

Immettere la nuova chiave KMS AWS e il nuovo codice ARN e fare clic su Aggiungi.

Il processo è descritto in Aggiungi e attiva la chiave AMS KMS in questo articolo.
5

Fare clic su Attiva.

La nuova chiave KMS AWS caricata viene visualizzata nello stato Attivo.

La vecchia chiave KMS AWS rimane nello stato di rotazione fino a quando Webex termina la crittografia di tutti i suoi contenuti con la nuova chiave KMS AWS attiva. Dopo la crittografia, la vecchia chiave KMS AWS scompare automaticamente da Control Hub.

1

Accedi a Control Hub e vai a Impostazioni organizzazione > Gestione chiavi.

2

Fare clic su Aggiungi un'altra chiave.

3

Inserire il nuovo tasto AWS KMS e fare clic su Aggiungi.

Control Hub mostra l'ID chiave Cisco KMS della nuova chiave KMS AWS e l'ID dell'ID chiave Cisco KMS attualmente attivo.

Il processo è descritto in Aggiungi e attiva la chiave AMS KMS in questo articolo.

4

Fare clic su Attiva.

La nuova chiave KMS AWS caricata viene visualizzata nello stato Attivo.

La vecchia chiave KMS AWS rimane nello stato di rotazione fino a quando Webex termina la crittografia di tutti i suoi contenuti con la nuova chiave KMS AWS attiva. Dopo la crittografia, la vecchia chiave KMS AWS scompare automaticamente da Control Hub.

1

Accedi a Control Hub e vai a Impostazioni organizzazione > Gestione chiavi.

2

Andare alla chiave KMS AWS attualmente attiva.

3

Fare clice selezionare Revoca locale.

4

Confermare la revoca della chiave.

La revoca completa della chiave può richiedere fino a 10 minuti. La chiave KMS AWS entra nello stato Localmente revocato.

 

Se l'amministratore del cliente revoca la chiave dalla console KMS AWS, la chiave KMS AWS viene visualizzata nello stato Revocato da Amazon in Control Hub.

1

Accedi a Control Hub e vai a Impostazioni organizzazione > Gestione chiavi.

2

Andare alla chiave KMS AWS revocata.

3

Fare clice selezionare Elimina.

4

Confermare l'eliminazione della chiave.

Una volta eliminata, è possibile recuperare la chiave entro 30 giorni.


 

Si consiglia di eliminare la chiave KMS AWS da Control Hub prima di eliminare il CMK dalla console AWS. Se si elimina il CMK dalla console AWS prima di eliminare il tasto KMS AWS in Control Hub, è possibile che si verifichino problemi.

Assicurarsi che la chiave KMS AWS non sia più visibile in Control Hub prima di eliminare il CMK dalla console AWS.

1

Accedi a Control Hub e vai a Impostazioni organizzazione > Gestione chiavi.

2

Andare alla chiave KMS AWS eliminata.

3

Fare clice selezionare Annulla eliminazione.

4

Confermare il ripristino della chiave.

Una volta ripristinato, Control Hub mostra la chiave nello stato Revocato.

Se si verificano problemi con il tasto KMS AWS, utilizzare le seguenti informazioni per risolverlo.

  • Chiave KMS AWS ARN. Ad esempio, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Contributi sulla chiave KMS AWS.

  • Stato chiave KMS AWS. Ad esempio, la chiave KMS AWS è disabilitata.

Questo esempio utilizza la versione 3.0 degli strumenti da riga di comando OpenSSL. Vedere OpenSSL per ulteriori informazioni su questi strumenti.

1

Accedere a Control Hub.

2

Vai a Impostazioni organizzazione > Gestione tasti .

3

Fare clic su Scarica chiave pubblica .

È possibile ottenere la chiave pubblica di Webex HSM in un file .pem sul sistema locale.

4

Creare una chiave a 256 bit (32 byte): openssl rand -out main_key.bin 32.

Nell'esempio viene utilizzato il nome filemain_key .bin per la nuova chiave non crittografata.

In alternativa, è possibile generare un valore casuale a 32 byte utilizzando dump Hex, Python o generatori online. È anche possibile creare e gestire la chiave KMS AWS.

5

Utilizzare la chiave pubblica Webex HSM per crittografare la nuova chiave:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Nell'esempio viene utilizzato il nome filemain_key_encrypted .bin per la chiave di output crittografata e il nome file percorso/to/pubblico.pem per la chiave pubblica Webex .

La chiave crittografata è pronta per il caricamento in Control Hub.