Grazie per il feedback.
Gestisci la tua chiave principale cliente
Feedback?
Nell'ambito del nostro impegno verso la sicurezza end-to-end, Webex detiene una chiave principale per conto di ogni organizzazione. La chiamiamo chiave principale perché non crittografa direttamente il contenuto, ma viene utilizzata per crittografare le altre chiavi della tua organizzazione che crittografano il contenuto. Il livello base della gerarchia delle chiavi è denominato chiave di contenuto (CK) e i livelli intermedi delle chiavi sono denominati chiavi di crittografia della chiave (KEK).
Sappiamo che alcune organizzazioni preferiscono gestire la propria sicurezza, quindi ti offriamo l'opzione di gestire la tua chiave principale cliente (CMK). Questo significa che ti assumi la responsabilità di creare e ruotare (ri-crittografare) la chiave principale che Webex utilizza per crittografare le chiavi di crittografia del contenuto.
D'ora in poi, se non specificato diversamente, si riferisce alla chiave CMK.
Come funziona
-
Webex mantiene CMK in un modulo di sicurezza hardware (HSM) in modo che i servizi Webex non abbiano accesso al valore CMK.
-
Control Hub mostra il CMK attualmente attivo o revocato e qualsiasi CMK in sospeso memorizzato nell'HSM. Quando è necessario ruotare (recrittografare) il CMK, è possibile generare il nuovo CMK e crittografarlo con la chiave pubblica dell'HSM, in modo che solo l'HSM possa decrittografarlo e memorizzarlo.
-
Quindi, caricare e attivare il nuovo CMK in Control Hub. Webex inizia immediatamente a utilizzare il nuovo CMK per la crittografia delle chiavi del contenuto. Webex mantiene il CMK precedente, ma solo fino a quando non è sicuro che le chiavi di crittografia del contenuto siano protette dal nuovo CMK.
Riconosciamo che alcune organizzazioni preferiscono gestire la propria chiave al di fuori di Webex. Ecco perché ti offriamo l'opzione di gestire il tuo CMK in Amazon Web Services (AWS) Key Management Service (KMS). Questo implica che tu sia responsabile della gestione delle chiavi nei KMS AWS. Si autorizza Webex a crittografare e decrittografare utilizzando la chiave KMS AWS attraverso la console AWS. È possibile fornire a Webex l'ID chiave KMS AWS anziché il CMK. Questo significa che ti assumi la responsabilità di creare e ruotare (ricrittografare) la chiave KMS AWS che Webex utilizza per crittografare le chiavi di crittografia del contenuto nel cloud.
Come funziona
-
Viene creata una chiave con AWS. L'AWS KMS viene utilizzato per gestire la chiave e memorizza la chiave in un modulo di sicurezza hardware (HSM).
-
È possibile fornire a Webex l'accesso per utilizzare la chiave KMS AWS tramite la console AWS.
Questo significa che, anziché caricare il tuo CMK in Control Hub, fornisci a Webex l'accesso alla chiave KMS AWS. La chiave AWS KMS non lascia AWS KMS e i servizi Webex non hanno accesso al materiale della chiave AWS KMS.
Control Hub mostra la tua chiave KMS AWS attualmente attiva o revocata e qualsiasi chiave KMS AWS in sospeso memorizzata in AWS KMS. Quando è necessario ruotare la chiave KMS AWS, generare la nuova chiave KMS AWS con la console KMS AWS.
-
Quindi, aggiungi e attiva la nuova chiave KMS AWS in Control Hub, fornendola con il nome risorsa Amazon (ARN) della nuova chiave KMS AWS. Webex inizia immediatamente a utilizzare la nuova chiave AWS KMS per la crittografia delle chiavi del contenuto. Webex non richiede più la chiave KMS AWS precedente. La chiave KMS AWS precedente scompare da Control Hub una volta ruotate e protette le chiavi di crittografia del contenuto dalla nuova chiave KMS AWS. Webex non elimina la chiave KMS AWS da KMS AWS. L'amministratore del cliente può rimuovere la chiave da KMS AWS.
Ciclo di vita della chiave
Definizioni di stato chiave
- In sospeso
-
Una chiave in questo stato è memorizzata in HSM ma non è ancora utilizzata per la crittografia. Webex non utilizza questo CMK per la crittografia.
In questo stato può essere presente solo una chiave. - Attivo
-
Webex sta attualmente utilizzando questo CMK per crittografare altre chiavi per la tua organizzazione.
In questo stato può essere presente solo una chiave. - Rotazione
-
Webex sta utilizzando temporaneamente questo CMK. Webex ne ha bisogno per decrittografare i dati e le chiavi che sono state crittografate in precedenza da questa chiave. Questa chiave viene ritirata al termine della rotazione (nuova crittografia).
Più chiavi possono essere in questo stato se una nuova chiave viene attivata prima del completamento della rotazione. - Ritirata
-
Webex non sta utilizzando questo CMK. Questa chiave non viene più utilizzata per la crittografia. Viene impostato un orario di accesso alla chiave, dopo di che questa chiave viene rimossa dall'HSM.
- Revocato
-
Webex non sta utilizzando questo CMK. Anche se esistono dati e chiavi crittografati con questa chiave, Webex non può utilizzarli per decrittografare dati e chiavi.
- Devi revocare una chiave attiva solo se sospetti che sia compromessa. Si tratta di una decisione seria perché impedisce a molte operazioni di comportarsi correttamente. Ad esempio, non potrai creare nuovi spazi e non potrai decrittografare alcun contenuto nel client Webex.
- In questo stato può essere presente solo una chiave. Devi riattivare questa chiave per ruotare (ricrittografare) una nuova chiave.
- È possibile eliminare questo CMK, ma non è necessario eliminarlo. Si consiglia di conservarlo per la decrittografia/nuova crittografia dopo aver risolto la violazione di sicurezza sospetta.
- Eliminato
-
Webex non sta utilizzando questo CMK. Il funzionamento in questo stato è uguale allo stato revocato, ad eccezione del fatto che viene impostata una chiave time-to-live, dopo di che questa chiave viene rimossa dall'HSM.
- Se un CMK eliminato procede allo stato Rimosso, è necessario recuperare la chiave originale per ripristinare la funzionalità dell'organizzazione.
- Si consiglia di mantenere una copia di backup della chiave originale, altrimenti l'organizzazione non funzionerà più.
- Rimosso
-
Questo è uno stato logico. Webex non dispone di questo CMK memorizzato in HSM. Non viene visualizzato in Control Hub.
Proprietà
Assumendo la proprietà del CMK, è necessario:
- Assumiti la responsabilità della creazione sicura e del backup delle tue chiavi
- Comprendere le implicazioni della perdita delle chiavi
- Come procedura consigliata, eseguire di nuovo la crittografia del CMK attivo almeno una volta all'anno
Creazione chiave
È necessario creare il proprio CMK utilizzando questi parametri. La chiave deve essere:
- 256 bit (32 byte) di lunghezza
- Crittografato con lo schema RSA-OAEP
- Crittografato con chiave pubblica HSM cloud Webex
Il software di generazione di chiavi deve essere in grado di:
- Funzione hash SHA-256
- Funzione di generazione della maschera MGF1
- Imbottitura PKCS#1 OAEP
Fare riferimento a Esempio: Creare e crittografare le chiavi con OpenSSL nella scheda Risorse di questo articolo.
Autorizzazione
È necessario disporre dell'accesso all'organizzazione Webex in Control Hub. È necessario essere un amministratore completo per gestire CMK.
| 1 | |
| 2 |
Andare a . Per abilitare la funzionalità BYOK, attiva BYOK (Bring Your Own Key) . Se si disabilita la funzione BYOK, la chiave predefinita comune Webex diventa la chiave principale della propria organizzazione. |
| 3 |
Seleziona Carica una chiave personalizzata e fai clic su Avanti. |
| 4 |
Fai clic su Scarica chiave pubblica. Salvare la chiave pubblica HSM Webex in un file .pem sul sistema locale. |
| 5 |
Creare una chiave casuale a 256 bit (32 byte) crittograficamente sicura utilizzando il software di gestione delle chiavi. |
| 6 |
Utilizza la chiave pubblica di Webex HSM per crittografare la tua nuova chiave. I parametri di crittografia richiesti sono:
Fare riferimento a Esempio: Creare e crittografare le chiavi con OpenSSL nella scheda Risorse di questo articolo.
|
| 7 |
Trascina la chiave crittografata dal file system e rilasciala nell'area di caricamento dell'interfaccia di Control Hub o fai clic su Scegli un file. |
| 8 |
Fare clic su Avanti. Webex carica la tua chiave nell'HSM, dove viene decrittografato e convalidato. Control Hub mostra quindi l'ID del nuovo CMK e l'ID del CMK attualmente attivo, se presente. Se si tratta del primo CMK, la chiave attiva attualmente è la chiave predefinita comune Webex (quella attualmente utilizzata per crittografare le chiavi della tua organizzazione). |
| 9 |
Scegliere la modalità di attivazione della chiave:
|
Operazioni successive
| 1 | |
| 2 |
Andare a . |
| 3 |
Andare al CMK attivo. |
| 4 |
Fare clic su |
| 5 |
Creare e crittografare una nuova chiave (se ancora non è stata fatta). Il processo è descritto in Crea e attiva la chiave principale cliente in questo articolo.
|
| 6 |
Trascina la nuova chiave dal file system e rilasciala in Control Hub. |
| 7 |
Fai clic su Attiva nuova chiave. La nuova chiave caricata passa allo stato attivo. Il precedente CMK rimane in rotazione (stato di ridistribuzione della crittografia) fino a quando Webex non completa la crittografia di tutto il relativo contenuto con il nuovo CMK attivo. Dopo aver eseguito nuovamente la crittografia, il tasto si sposta nello stato Ritirato. Webex quindi elimina il precedente CMK. |
e selezionare | 1 | |
| 2 |
Andare a . |
| 3 |
Andare alla chiave eliminata. |
| 4 |
Fare clic su |
| 5 |
Confermare il ripristino della chiave. Una volta ripristinato, Control Hub mostra la chiave nello stato Revocato prima dell'eliminazione. Ad esempio, se si elimina una chiave revocata e la si ripristina, Control Hub mostra la chiave ripristinata nello stato Revocato.
|
Proprietà
Assumendo la proprietà della tua chiave KMS AWS, devi:
- Assumi la responsabilità della creazione e del backup sicuri delle tue chiavi KMS AWS.
- Comprendi le implicazioni della perdita delle chiavi KMS AWS.
- Come procedura consigliata, eseguire nuovamente la crittografia della chiave KMS AMS attiva almeno una volta all'anno.
Autorizzazione
- È necessario essere autorizzati a creare e gestire le chiavi in AWS KMS per la propria organizzazione Webex.
- È necessario disporre dell'accesso all'organizzazione Webex in Control Hub. Devi essere un amministratore completo per gestire la tua chiave KMS AWS.
| 1 |
Accedere ad AWS e andare alla console KMS AWS. |
| 2 |
Seleziona Chiavi gestite dal cliente , quindi fai clic su Crea chiave. |
| 3 |
Creare la chiave con i seguenti attributi:
|
| 4 |
Fare clic su Avanti. |
| 5 |
Esamina le impostazioni e fai clic su Fine. La chiave KMS AWS viene creata.
|
| 6 |
Vai a Chiavi gestite dal cliente e fai clic sull'alias o sull'ID chiave per visualizzare l'ARN. |
Operazioni successive
Si consiglia di conservare una copia temporanea dell'ARN. Questo ARN viene utilizzato per aggiungere e attivare la tua chiave KMS AWS in Control Hub.
| 1 |
Accedere a AWS e andare alla console AWS CloudShell. |
| 2 |
Eseguire KMS_CISCO_USER_ARN è specifico per la tua organizzazione. L'ARN viene visualizzata nella finestra Aggiungi la tua chiave AWS quando attivi la tua nuova chiave KMS AWK in Control Hub. |
Operazioni preliminari
Devi creare una chiave KMS AWS prima di attivarla in Control Hub. Fare riferimento a Creazione di una chiave KMS AWS in questo articolo.
Devi fornire a Webex l'accesso alla chiave KMS AWS. Fai riferimento a Autorizzazione di Cisco KMS con accesso alla chiave KMS AWS in questo articolo.
| 1 | |
| 2 |
Andare a e attivare BYOK (Bring Your Own Key) . Se si disabilita la funzione BYOK, la chiave predefinita comune Webex diventa la chiave principale della propria organizzazione. |
| 3 |
Seleziona Aggiungi chiave AWS KMS e fai clic su Avanti. |
| 4 |
Ottieni l'ARN dalla console AWS. |
| 5 |
Inserisci l'ARN in Control Hub e fai clic su Aggiungi. L'ARN della chiave viene caricato su Cisco KMS, dove viene convalidato l'accesso alla chiave. Control Hub mostra l'ID chiave Cisco KMS della nuova chiave KMS AWS e l'ID chiave Cisco KMS attualmente attivo, se presente. Se questa è la tua prima chiave KMS AWS, la chiave attualmente attiva è la chiave predefinita comune Webex (quella attualmente utilizzata per crittografare le chiavi della tua organizzazione). |
| 6 |
Scegliere la modalità di attivazione della chiave:
|
| 1 |
Accedi a Control Hub e vai a . |
| 2 |
Vai alla chiave KMS AWS attiva. |
| 3 |
Fare clic su |
| 4 |
Inserisci la tua nuova chiave KMS AWS e la nuova ARN e fai clic su Aggiungi. Il processo è descritto in Aggiunta e attivazione della chiave KMS AMS in questo articolo.
|
| 5 |
Fare clic su Attiva. La nuova chiave KMS AWS caricata passa allo stato Attivo. La vecchia chiave KMS AWS rimane nello stato di rotazione fino a quando Webex non completa la crittografia di tutto il relativo contenuto con la nuova chiave KMS AWS attiva. Dopo la nuova crittografia, la vecchia chiave AWS KMS scompare automaticamente da Control Hub. |
| 1 |
Accedi a Control Hub e vai a . |
| 2 |
Fare clic su Aggiungi un'altra chiave. |
| 3 |
Inserisci la nuova chiave AWS KMS e fai clic su Aggiungi. Control Hub mostra l'ID chiave Cisco KMS della nuova chiave KMS AWS e l'ID dell'ID chiave Cisco KMS attualmente attivo. Il processo è descritto in Aggiunta e attivazione della chiave KMS AMS in questo articolo. |
| 4 |
Fare clic su Attiva. La nuova chiave KMS AWS caricata passa allo stato Attivo. La vecchia chiave KMS AWS rimane nello stato di rotazione fino a quando Webex non completa la crittografia di tutto il relativo contenuto con la nuova chiave KMS AWS attiva. Dopo la nuova crittografia, la vecchia chiave AWS KMS scompare automaticamente da Control Hub. |
| 1 |
Accedi a Control Hub e vai a . |
| 2 |
Vai alla chiave KMS AWS attualmente attiva. |
| 3 |
Fare clic su |
| 4 |
Confermare la revoca della chiave. È possibile revocare completamente la tua chiave fino a 10 minuti. La chiave KMS AWS passa allo stato Revocato localmente.
|
Se l'amministratore del cliente revoca la chiave dalla console KMS AWS, la chiave KMS AWS viene visualizzata nello stato Revocato da Amazon in Control Hub.
| 1 |
Accedi a Control Hub e vai a . |
| 2 |
Vai alla chiave KMS AWS revocata. |
| 3 |
Fare clic su |
| 4 |
Confermare l'eliminazione della chiave. Una volta eliminata, è possibile recuperare la chiave entro 30 giorni. |
Si consiglia di eliminare la chiave KMS AWS da Control Hub prima di eliminare CMK dalla console AWS. Se elimini il tuo CMK dalla console AWS prima di eliminare la chiave KMS AWS in Control Hub, potrebbero verificarsi problemi.
Assicurati che la chiave KMS AWS non sia più visibile in Control Hub prima di eliminare CMK dalla console AWS.
| 1 |
Accedi a Control Hub e vai a . |
| 2 |
Vai alla chiave KMS AWS eliminata. |
| 3 |
Fare clic su |
| 4 |
Confermare il ripristino della chiave. Una volta ripristinato, Control Hub mostra la chiave nello stato Revocato. |
Se si verificano problemi con la chiave KMS AWS, utilizzare le seguenti informazioni per risolvere il problema.
-
ARN chiave KMS AWS. Ad esempio,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Stato chiave KMS AWS. Ad esempio, la chiave KMS AWS è disabilitata.
In questo esempio viene utilizzata la versione 3.0 degli strumenti a riga di comando OpenSSL. Vedere OpenSSL per ulteriori informazioni su questi strumenti.
| 1 | |
| 2 |
Andare a . |
| 3 |
Fai clic su Scarica chiave pubblica. Si ottiene la chiave pubblica Webex HSM in un file .pem sul sistema locale. |
| 4 |
Creare una chiave a 256 bit (32 byte): Nell'esempio viene utilizzato il nome file main_key.bin per la nuova chiave non crittografata. In alternativa, è possibile generare un valore casuale a 32 byte utilizzando i generatori Hex dump, Python o online. Puoi anche creare e gestire la tua chiave KMS AWS. |
| 5 |
Usa la chiave pubblica di Webex HSM per crittografare la tua nuova chiave: Nell'esempio viene utilizzato il nome file main_key_encrypted.bin per la chiave di output crittografata e il percorso/per/public.pem per la chiave pubblica Webex. La chiave crittografata è pronta per il caricamento in Control Hub. |
