Webexはデフォルトで基本的に安全で、組織のすべての暗号化キーを暗号化するためのメイン キーを保持しています。 組織のメイン キーをコントロールしたい場合は、Control Hub と好みのキー管理ツールを使用して行うことができます。
エンドツーエンドのセキュリティに対する取り組みの一環として、 Webexは各組織の代わりにメインキーを保持しています。 コンテンツを直接暗号化しないため、メイン キーと呼ばれていますが、コンテンツを暗号化する組織の他のキーを暗号化するために使用されます。 鍵階層の基本レベルはコンテンツ キー (CK) と呼ばれ、鍵の中間レベルはキー暗号化キー (KEK) と呼ばれます。
一部の組織は独自のセキュリティを管理することを希望しているため、独自の顧客メイン キー(CMK)を管理するオプションを提供しています。 これは、Webex がコンテンツ暗号化キーを暗号化するために使用するメインキーを作成して回転(再暗号化)する責任があることを意味します。
今後、特に指定されない限り、キーは CMK を指します。
展開方法
Webexは CMK をハードウェアセキュリティモジュール (HSM) に保持して、 Webexサービスが CMK 値にアクセスできないようにします。
Control Hub には、現在アクティブな、または失効した CMK と、HSM に保存されている保留中の CMK が表示されます。 CMKを回転(再暗号化)する必要がある場合は、新しいCMKを生成し、HSMの公開キーで暗号化して、HSMだけが復号化して保存できるようにします。
その後、Control Hub で新しい CMK をアップロードし、アクティブ化します。 Webexはすぐに、コンテンツキーを暗号化するための新しい CMK の使用を開始します。 Webexは古い CMK を保持しますが、コンテンツ暗号化キーが新しい CMK により保護されていることが確認されるまで継続します。
既存のすべてのコンテンツを遡及的に再暗号化することはありません。 CMK を有効にすると、すべての新しいコンテンツ (スペースとミーティング) が再暗号化され、保護されます。 |
一部の組織では、Webex 以外の独自のキーを管理することを好むことを認識しています。 そのため、Amazon Web Services(AWS)Key Management Service(KMS)で独自のCMKを管理するオプションを提供しています。 これは、AWS KMS でキーを管理する責任があることを意味します。 Webex が AWS コンソール経由で AWS KMS キーを使用して暗号化および復号化することを許可します。 CMK の代わりに AWS KMS キー ID を Webex に提供します。 これは、Webex がクラウドのコンテンツ暗号化キーを暗号化するために使用する AWS KMS キーを作成して回転(再暗号化)する責任があることを意味します。
展開方法
AWS でキーを作成します。 AWS KMS は、キーを管理し、キーをハードウェアセキュリティモジュール (HSM) に保存するために使用されます。
Webex に AWS コンソールから AWS KMS キーを使用するためのアクセスを提供します。
これは、CMK を Control Hub にアップロードする代わりに、Webex に AWS KMS キーへのアクセスを提供することを意味します。 AWS KMS キーは AWS KMS を離れず、Webex サービスには AWS KMS キーマテリアルへのアクセス権がありません。
Control Hub には、現在アクティブまたは取り消された AWS KMS キーと、AWS KMS に保存されている保留中の AWS KMS キーが表示されます。 AWS KMS キーを回転させる必要がある場合は、AWS KMS コンソールで新しい AWS KMS キーを生成します。
次に、Control Hub で新しい AWS KMS キーを追加してアクティブ化し、新しい AWS KMS キーの Amazon リソース名(ARN)を提供します。 Webex はすぐに新しい AWS KMS キーを使用してコンテンツ キーを暗号化し始めます。 Webex では古い AWS KMS キーは必要なくなりました。 古い AWS KMS キーは、コンテンツ暗号化キーが新しい AWS KMS キーで回転して保護された後、Control Hub から消えます。 Webex は AWS KMS から AWS KMS キーを削除しません。 顧客管理者は、AWS KMS からキーを削除できます。
キーのライフサイクル
キーの状態の定義
- 保留中
-
この状態のキーは HSM に保存されますが、暗号化にはまだ使用されません。 Webexは、この CMK を暗号化に使用しません。
この状態にあるキーは 1 つだけです。 - アクティブ
-
Webexは現在、組織の他のキーを暗号化するためにこの CMK を使用しています。
この状態にあるキーは 1 つだけです。 - 回転
-
Webexは一時的にこの CMK を使用しています。 Webexは、このキーで以前暗号化されたデータとキーを復号するために必要です。 このキーは、回転(再暗号化)が完了するとリタイアされます。
ローテーションが完了する前に新しいキーがアクティブ化された場合、複数のキーがこの状態になる可能性があります。 - サービス終了しました
-
Webexはこの CMK を使用していません。 このキーは暗号化に使用されなくなりました。 キーの存続可能時間後にこのキーが HSM から削除されます。
- 取り消し済み
-
Webexはこの CMK を使用していません。 このキーで暗号化されたデータとキーがあっても、 Webexはデータとキーを解読するためにそれを使用できません。
- 侵害された場合のみアクティブ キーを失効させる必要があります。 これは多くの操作が適切に動作することを妨げる重要な決定です。 たとえば、新しいスペースを作成することはできません。また、 Webexクライアントでコンテンツを解読することはできません。
- この状態にあるキーは 1 つだけです。 新しいキーを回転(再暗号化)するには、このキーを再アクティブ化する必要があります。
- この CMK は削除できますが、削除する必要はありません。 セキュリティ侵害の疑いを解決した後、復号化/再暗号化のために保管することをお勧めします。
- 削除済み
-
Webexはこの CMK を使用していません。 この状態での動作は、キーの有効期限が設定された後にこのキーが HSM から削除されることを除き、取り消し状態と同じです。
- 削除された CMK が [削除済み] 状態に移行する場合、元のキーを復元して組織の機能を復元する必要があります。
- 元のキーのバックアップコピーを保存しておくことをお勧めします。さもないと、組織が機能しなくなります。
- 削除しました
-
これは論理的な状態です。 Webexは、HSM に保存されたこの CMK がありません。 Control Hub には表示されません。
所有権
CMK の所有権を取得するには、次のことを行う必要があります。
- 鍵の安全な作成とバックアップに責任を持つ
- 鍵を紛失した場合の影響を理解します
- ベストプラクティスとして、アクティブCMKを少なくとも年に1回再暗号化する
キーの作成
これらのパラメータを使用して独自の CMK を作成する必要があります。 キーは次の条件を満たしている必要があります。
- 256 ビット(32 バイト)長
- RSA-OAEP スキームで暗号化
- Webex Cloud HSM 公開キーで暗号化されている
キー生成ソフトウェアに対応している必要があります。
- SHA-256 ハッシュ機能
- MMF1 マスク生成関数
- PKCS#1 OAEP パディング
参照先:例: OpenSSL でキーを作成し暗号化するをこの記事の [リソース] タブで選択します。
認証
Control Hub でWebex組織にアクセスできる必要があります。 あなたは、フル管理者を使用して、CMK を管理します。
1 | |
2 | このリンクを選択します: を選択します。BYOK を有効にするには、トグルBring Your Own キー(BYOK)にサインインしたすべてのプラットフォームのデータが表示されます。 BYOK を無効にした場合、 Webex共通デフォルトキーが組織のメイン キーになります。 |
3 | [カスタムキーをアップロード]を選択し、[次へ]をクリックします。 |
4 | クリック公開鍵をダウンロードを選択します。 Webex HSM 公開キーをローカルシステム上の .pem ファイルに保存します。 |
5 | キー管理ソフトウェアを使用して、暗号化された安全な 256 ビット (32 バイト) のランダムキーを作成します。 |
6 | Webex HSM パブリック キーを使用して、新しいキーを暗号化します。 必要な暗号化パラメータは次のとおりです。
参照先:例: OpenSSL でキーを作成し暗号化するをこの記事の [リソース] タブで選択します。
|
7 | 暗号化されたキーをファイル システムからドラッグし、コントロール ハブ インターフェイスのアップロード領域にドロップするか、ファイルを選択を選択します。 |
8 | [次へ] をクリックします。 Webexはキーを HSM にアップロードし、そこで復号と検証を行います。 次に、Control Hub は新しい CMK のIDと、現在アクティブな CMK のIDを表示します。 これが最初の CMK の場合、現在アクティブなキーは、 Webex共通デフォルトキー(組織のキーの暗号化に現在使用されているもの)。 |
9 | キーをアクティベートする方法を選択します。
|
次に行うこと
既存のすべてのコンテンツを遡及的に再暗号化することはありません。 CMK を有効にすると、すべての新しいコンテンツ (スペースとミーティング) が再暗号化され、保護されます。 |
1 | |
2 | このリンクを選択します: を選択します。 |
3 | アクティブな CMK に移動します。 |
4 | クリック[回転]を選択します |
5 | 新しいキーを作成し、暗号化します (まだ行っていない場合)。 手順は次で説明されています顧客のメイン キーを作成してアクティベートします参照してください。
|
6 | ファイルシステムから新しいキーをドラッグし、Control Hub にドロップします。 |
7 | クリック新しいキーをアクティベートを選択します。 アップロードした新しいキーはアクティブな状態になります。 古い CMK は、Webex が新しい Active CMK ですべてのコンテンツの暗号化を終了するまで、Rotation (再暗号化状態) のままになります。 再暗号化後、キーはリタイア状態に移動します。 その後、 Webexは古い CMK を削除します。 |
所有権
AWS KMS キーの所有権を取得するには、次のことが必要です。
- AWS KMS キーの安全な作成とバックアップに責任を持ちます。
- AWS KMS キーを失うことの意味を理解します。
- ベストプラクティスとして、アクティブな AMS KMS キーを少なくとも 1 年に 1 回再暗号化します。
認証
- Webex 組織の AWS KMS でキーを作成および管理する権限を持つ必要があります。
- Control Hub でWebex組織にアクセスできる必要があります。 AWS KMS キーを管理するには、フル管理者 である必要があります。
1 | AWS にサインインし、AWS KMS コンソールに移動します。 |
2 | 「顧客管理キー」を選択し、「キーの作成」をクリックします。 |
3 | 次の属性でキーを作成します。
|
4 | [次へ] をクリックします。 |
5 | 設定を見直し、[終了]をクリックします。 AWS KMS キーが作成されます。
|
6 | 顧客管理キーに移動し、エイリアスまたはキーIDをクリックしてARNを表示します。 |
次に行うこと
ARN の一時的なコピーを保持することをお勧めします。 この ARN は、Control Hub で AWS KMS キーを追加してアクティブ化するために使用されます。
1 | AWS にサインインし、AWS CloudShell コンソールに移動します。 | ||
2 | コマンド 例:
|
始める前に
Control Hub でアクティブ化する前に、AWS KMS キーを作成する必要があります。 この記事のAWS KMSキーの作成を参照してください。
Webex に AWS KMS キーへのアクセスを提供する必要があります。 この記事の「AWS KMS キーへのアクセスを許可する」を参照してください。
1 | |
2 | 独自のキーを入力(BYOK)]をオンに切り替えます。 を選択し、[BYOK を無効にした場合、 Webex共通デフォルトキーが組織のメイン キーになります。 |
3 | [AWS KMS キーの追加] を選択し、[次へ] をクリックします。 |
4 | AWS コンソールから ARN を取得します。 |
5 | Control Hub に ARN を入力し、[追加] をクリックします。 キー ARN が Cisco KMS にアップロードされ、キーへのアクセスが検証されます。 次に、Control Hub には、新しい AWS KMS キーの Cisco KMS キー ID と、現在アクティブな Cisco KMS キー ID があれば表示されます。 これが最初の AWS KMS キーである場合、現在アクティブなキーは Webex 共通のデフォルト キー (組織のキーの暗号化に現在使用しているキー) です。 |
6 | キーをアクティベートする方法を選択します。
|
1 | Control Hubにサインインし、 。 |
2 | アクティブな AWS KMS キーに移動します。 |
3 | クリック[回転]を選択します |
4 | 新しい AWS KMS キーと新しい ARN を入力し、[追加] をクリックします。 この手順については、この記事のAMS KMSキーの追加と有効化を参照してください。
|
5 | [有効化] をクリックします。 アップロードした新しい AWS KMS キーは Active 状態になります。 古い AWS KMS キーは、Webex が新しい Active AWS KMS キーですべてのコンテンツの暗号化を終了するまで、回転状態のままになります。 再暗号化した後、古い AWS KMS キーは Control Hub から自動的に消えます。 |
1 | Control Hubにサインインし、 。 |
2 | 別のキーを追加をクリックします。 |
3 | 新しい AWS KMS キーを入力し、[追加] をクリックします。 Control Hub には、新しい AWS KMS キーの Cisco KMS キー ID と、現在アクティブな Cisco KMS キー ID が表示されます。 この手順については、この記事のAMS KMSキーの追加と有効化を参照してください。 |
4 | [有効化] をクリックします。 アップロードした新しい AWS KMS キーは Active 状態になります。 古い AWS KMS キーは、Webex が新しい Active AWS KMS キーですべてのコンテンツの暗号化を終了するまで、回転状態のままになります。 再暗号化した後、古い AWS KMS キーは Control Hub から自動的に消えます。 |
1 | Control Hubにサインインし、 。 |
2 | 現在アクティブな AWS KMS キーに移動します。 |
3 | クリック[ローカル取り消し]を選択します |
4 | キーの失効を確認します。 キーを完全に取り消すには、最大 10 分かかります。 AWS KMS キーは、ローカルで取り消された状態になります。
|
顧客管理者が AWS KMS コンソールからキーを取り消した場合、AWS KMS キーは Control Hub の Revoked by Amazon 状態に表示されます。 |
1 | Control Hubにサインインし、 。 |
2 | 取り消された AWS KMS キーに移動します。 |
3 | クリック[削除]を選択します |
4 | キーの削除を確認します。 削除すると、30日以内にキーを回復できます。 |
AWS コンソールから CMK を削除する前に、まず AWS KMS キーを Control Hub から削除することをお勧めします。 Control Hub の AWS KMS キーを削除する前に、AWS コンソールから CMK を削除すると、問題が発生する可能性があります。 AWS コンソールから CMK を削除する前に、AWS KMS キーが Control Hub に表示されなくなったことを確認してください。 |
1 | Control Hubにサインインし、 。 |
2 | 削除された AWS KMS キーに移動します。 |
3 | クリック[元に戻す]を選択します |
4 | キーの復元を確認します。 復元されると、Control Hub に Revoked 状態のキーが表示されます。 |
AWS KMS キーで問題が発生した場合は、次の情報を使用してトラブルシューティングを行います。
AWS KMS キー ARN。 例:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
です。AWS KMS キー状態。 たとえば、AWS KMS キーは無効になっています。
この例では、OpenSSL コマンドラインツールのバージョン 3.0 を使用します。 参照先OpenSSLこれらのツールの詳細については をご覧ください。
1 | |
2 | このリンクを選択します: を選択します。 |
3 | クリック公開鍵をダウンロードを選択します。 ローカル システムの .pem ファイルでWebex HSM パブリック キーを取得します。 |
4 | 256 ビット(32 バイト)のキーを作成します。 この例では、ファイル名main_key.binを暗号化されていない新しいキーに追加します。 または、16 進ダンプ、Python、またはオンラインジェネレータを使用して 32 バイトのランダム値を生成することもできます。 また、AWS KMS キーを作成して管理することもできます。 |
5 | Webex HSM パブリック キーを使用して、新しいキーを暗号化します。
この例では、ファイル名main_key_encrypted.bin暗号化出力キーおよびファイル名の場合は、パス/宛先/public.pemをWebex公開キーに対して行います。 暗号化されたキーを Control Hub にアップロードする準備ができました。 |