コメントありがとうございます。
独自の顧客メインキーを管理する
フィードバックがある場合この機能は Webex for Government には対応していません。
エンドツーエンドのセキュリティへの取り組みの一環として、Webex は各組織に代わってメイン キーを保持します。これをメイン キーと呼ぶのは、コンテンツを直接暗号化するのではなく、コンテンツを暗号化する組織の他のキーを暗号化するために使用されるためです。キー階層の基本レベルはコンテンツ キー (CK) と呼ばれ、キーの中間レベルはキー暗号化キー (KEK) と呼ばれます。
一部の組織では独自のセキュリティ管理を希望していることを認識し、独自の顧客メインキー (CMK) を管理するオプションを提供しています。つまり、Webex がコンテンツ暗号化キーを暗号化するために使用するメイン キーの作成とローテーション (再暗号化) はユーザーの責任となります。
今後、特に指定がない限り、キーは CMK を指します。
展開方法
-
Webex は CMK をハードウェア セキュリティ モジュール (HSM) に保存するため、Webex サービスが CMK 値にアクセスすることはできません。
-
Control Hub には、現在アクティブまたは取り消された CMK と、HSM に保存されている保留中の CMK が表示されます。CMK をローテーション (再暗号化) する必要がある場合は、新しい CMK を生成し、HSM の公開キーで暗号化して、HSM のみが復号化して保存できるようにします。
-
次に、Control Hub に新しい CMK をアップロードしてアクティブ化します。Webex はすぐに新しい CMK を使用してコンテンツ キーを暗号化し始めます。Webex は古い CMK を保持しますが、コンテンツ暗号化キーが新しい CMK によって保護されていることを確認するまでのみです。
既存のコンテンツすべてを遡及的に再暗号化することはありません。CMK をアクティブ化すると、すべての新しいコンテンツ (スペースと会議) が再暗号化され、保護されます。
一部の組織では、Webex の外部で独自のキーを管理することを好むことを認識しています。そのため、Amazon Web Services (AWS) Key Management Service (KMS) で独自の CMK を管理するオプションを提供しています。これは、AWS KMS でキーを管理する責任があることを意味します。AWS コンソールを通じて、Webex が AWS KMS キーを使用して暗号化および復号化することを承認します。Webex には CMK ではなく AWS KMS キー ID を提供します。つまり、Webex がクラウド内のコンテンツ暗号化キーを暗号化するために使用する AWS KMS キーの作成とローテーション (再暗号化) はお客様の責任となります。
展開方法
-
AWS でキーを作成します。AWS KMS はキーを管理するために使用され、キーをハードウェアセキュリティモジュール (HSM) に保存します。
-
AWS コンソールを通じて AWS KMS キーを使用するためのアクセス権を Webex に付与します。
つまり、CMK を Control Hub にアップロードする代わりに、Webex に AWS KMS キーへのアクセス権を付与することになります。AWS KMS キーは AWS KMS から出ることはなく、Webex サービスは AWS KMS キーマテリアルにアクセスできません。
Control Hub には、現在アクティブまたは取り消された AWS KMS キーと、AWS KMS に保存されている保留中の AWS KMS キーが表示されます。AWS KMS キーをローテーションする必要がある場合は、AWS KMS コンソールを使用して新しい AWS KMS キーを生成します。
-
次に、新しい AWS KMS キーの Amazon リソースネーム (ARN) を指定して、Control Hub に新しい AWS KMS キーを追加してアクティブ化します。Webex は、コンテンツ キーの暗号化に新しい AWS KMS キーの使用を直ちに開始します。Webex では古い AWS KMS キーは不要になりました。コンテンツ暗号化キーがローテーションされ、新しい AWS KMS キーによって保護されると、古い AWS KMS キーは Control Hub から消えます。Webex は AWS KMS から AWS KMS キーを削除しません。顧客管理者は AWS KMS からキーを削除できます。
キーのライフサイクル
主要な州の定義
- 保留中
-
この状態のキーは HSM に保存されますが、暗号化にはまだ使用されていません。Webex は暗号化にこの CMK を使用しません。
この状態になれるのは 1 つのキーだけです。
- アクティブ
-
Webex は現在この CMK を使用して組織の他のキーを暗号化しています。
この状態になれるのは 1 つのキーだけです。
- 回転
-
Webex は一時的にこの CMK を使用しています。Webex では、このキーで以前に暗号化されたデータとキーを復号化するためにこれが必要です。ローテーション(再暗号化)が完了すると、このキーは廃止されます。
ローテーションが完了する前に新しいキーがアクティブ化されると、複数のキーがこの状態になることがあります。
- 廃止
-
Webex はこの CMK を使用していません。このキーは暗号化には使用されなくなりました。キーの有効期間が設定され、その期間が過ぎるとこのキーは HSM から削除されます。
- 取り消し済み
-
Webex はこの CMK を使用していません。このキーで暗号化されたデータとキーが存在する場合でも、Webex はそれを使用してデータとキーを復号化することはできません。
- アクティブなキーが侵害された疑いがある場合にのみ、そのキーを取り消す必要があります。これは、多くの操作が適切に動作しなくなるため、重大な決定です。たとえば、新しいスペースを作成できなくなり、Webex クライアント内のコンテンツを復号化できなくなります。
- この状態になれるのは 1 つのキーだけです。新しいキーをローテーション (再暗号化) するには、このキーを再アクティブ化する必要があります。
- この CMK は削除できますが、削除する必要はありません。復号化のために保存しておくとよいかもしれません / 疑わしいセキュリティ侵害を解決した後、再暗号化します。
- 削除されました
-
Webex はこの CMK を使用していません。この状態での動作は、キーの有効期間が設定され、その後このキーが HSM から削除されることを除いて、失効状態と同じです。
- 削除された CMK が Removed 状態になった場合、組織の機能を復元するには元のキーを復元する必要があります。
- 元のキーのバックアップ コピーを保持しておくことをお勧めします。そうしないと、組織が機能しなくなります。
- 削除しました
-
これは論理的な状態です。Webex ではこの CMK は HSM に保存されません。コントロールハブには表示されません。
所有権
CMK の所有権を取得するには、次の操作を行う必要があります。
- 鍵の安全な作成とバックアップに責任を持ちましょう
- 鍵を紛失した場合の影響を理解する
- ベストプラクティスとして、アクティブな CMK を少なくとも年に 1 回は再暗号化してください。
キーの作成
これらのパラメータを使用して独自の CMK を作成する必要があります。キーは次のとおりである必要があります:
- 256ビット(32バイト)の長さ
- RSA-OAEP方式で暗号化
- WebexクラウドHSM公開鍵で暗号化
キー生成ソフトウェアには次の機能が必要です。
- SHA-256ハッシュ関数
- MGF1マスク生成関数
- PKCS#1 OAEPパディング
を参照してください。例: この記事の「リソース」タブで、OpenSSL を使用してキーを作成し、暗号化します。
認証
Control Hub で Webex 組織にアクセスできる必要があります。CMK を管理するには、 完全な管理者 である必要があります。
| 1 | |
| 2 |
。 BYOK を有効にするには、 Bring Your Own Key (BYOK) をオンに切り替えます。BYOK を無効にすると、 Webex 共通デフォルト キー が組織のメイン キーになります。 |
| 3 |
カスタムキーをアップロード を選択し、 次へをクリックします。 |
| 4 |
公開鍵のダウンロードをクリックします。 Webex HSM 公開キーをローカル システムの .pem ファイルに保存します。 |
| 5 |
キー管理ソフトウェアを使用して、暗号化された安全な 256 ビット (32 バイト) のランダム キーを作成します。 |
| 6 |
Webex HSM 公開キーを使用して新しいキーを暗号化します。 必要な暗号化パラメータは次のとおりです。
を参照してください。例: この記事の「リソース」タブで、OpenSSL を使用してキーを作成し、暗号化します。
|
| 7 |
暗号化されたキーをファイル システムからドラッグし、Control Hub インターフェイスのアップロード領域にドロップするか、 ファイルの選択をクリックします。 |
| 8 |
[次へ] をクリックします。 Webex はキーを HSM にアップロードし、そこでキーは復号化され検証されます。次に、Control Hub に新しい CMK の ID と、現在アクティブな CMK の ID(存在する場合)が表示されます。 これが最初の CMK である場合、現在アクティブなキーは Webex 共通デフォルト キー (現在組織のキーを暗号化するために使用されているキー) です。 |
| 9 |
キーをアクティブ化する方法を選択します。
|
次に行うこと
既存のコンテンツすべてを遡及的に再暗号化することはありません。CMK をアクティブ化すると、すべての新しいコンテンツ (スペースと会議) が再暗号化され、保護されます。
| 1 | |
| 2 |
。 |
| 3 |
アクティブな CMK に移動します。 |
| 4 |
|
| 5 |
新しいキーを作成して暗号化します (まだ行っていない場合)。 このプロセスについては、この記事の 顧客メイン キーの作成とアクティブ化 で説明されています。
|
| 6 |
新しいキーをファイル システムからドラッグし、Control Hub にドロップします。 |
| 7 |
新しいキーをアクティブ化をクリックします。 アップロードした新しいキーはアクティブ状態になります。 Webex が新しいアクティブ CMK を使用してすべてのコンテンツの暗号化を完了するまで、古い CMK はローテーション (再暗号化状態) のままになります。再暗号化後、キーは「Retired」状態に移行します。その後、Webex は古い CMK を削除します。 |
をクリックし、
所有権
AWS KMS キーの所有権を取得するには、次の操作を行う必要があります。
- AWS KMS キーの安全な作成とバックアップの責任を負います。
- AWS KMS キーを紛失した場合の影響を理解します。
- ベストプラクティスとして、アクティブな AMS KMS キーを少なくとも年に 1 回は再暗号化してください。
認証
- Webex 組織の AWS KMS でキーを作成および管理する権限が必要です。
- Control Hub で Webex 組織にアクセスできる必要があります。AWS KMS キーを管理するには、 完全な管理者 である必要があります。
| 1 |
AWS にサインインし、AWS KMS コンソールに移動します。 |
| 2 |
顧客管理キー を選択し、 キーの作成をクリックします。 |
| 3 |
次の属性を持つキーを作成します。
|
| 4 |
[次へ] をクリックします。 |
| 5 |
設定を確認して、 [完了]をクリックします。 AWS KMS キーが作成されました。
|
| 6 |
カスタマー管理キー に移動し、エイリアスまたはキー ID をクリックして ARN を表示します。 |
次に行うこと
ARN の一時コピーを保持することをお勧めします。この ARN は、Control Hub で AWS KMS キーを追加およびアクティブ化するために使用されます。
データの可用性と復元力を確保するために、バックアップ キーを作成することをお勧めします。これにより、地域的な停止時でも暗号化されたデータにアクセスできるようになります。詳細については、この記事の バックアップ AWS KMS キーの作成 を参照してください。
開始する前に
バックアップ キーの作成に進む前に、マルチリージョン キーを作成していることを確認してください。詳細については、この記事の AWS KMS キーを作成する を参照してください。
| 1 |
AWS にサインインし、AWS KMS コンソールに移動します。 |
| 2 |
新しく作成したマルチリージョン キーを選択します。 |
| 3 |
地域性の下で、 新しいレプリカ キーの作成をクリックします。 |
| 4 |
AWS リージョンのリストからバックアップ リージョンを選択し、 次へをクリックします。 たとえば、キーが米国西部 (us-west-1) で作成された場合は、米国東部 (us-east-1) でバックアップ キーを作成することを検討してください。
|
| 5 |
次の属性を持つキーを作成します。
|
| 6 |
[次へ] をクリックします。 |
| 7 |
設定を確認し、確認ボックスをオンにして、 新しいレプリカ キーの作成をクリックします。 |
KMS 許可を作成するか、IAM ロールを設定することで、Cisco KMS が AWS KMS キーにアクセスすることを許可できます。安全で柔軟なキー管理統合を確実に実現するために、組織のニーズに最適なオプションを選択してください。
KMS 許可の使用
この方法では、AWS KMS キーに対して暗号化操作を実行するための権限を Cisco KMS に直接付与します。
| 1 |
AWS にサインインし、AWS CloudShell コンソールに移動します。 |
| 2 |
次のように |
IAMロールの使用
必要な KMS 権限を持つ IAM ポリシーを作成し、それを Cisco KMS が引き受けることができる IAM ロールにアタッチして、安全で集中化されたアクセス管理を実現します。
IAMポリシーを設定する
| 1 |
AWS にサインインし、AWS KMS コンソールに移動します。 |
| 2 |
。 |
| 3 |
左側のナビゲーション ペインで ポリシーを選択し、 ポリシーの作成をクリックします。 |
| 4 |
ポリシーエディター セクションで、 JSON オプションを選択します。 |
| 5 |
次のポリシー ドキュメントをコピーして貼り付けます。 |
| 6 |
[次へ] をクリックします。 |
| 7 |
ポリシー名 とオプションの 説明を入力します。 |
| 8 |
ポリシーの作成をクリックします。 |
IAMロールを設定する
| 1 |
AWS にサインインし、AWS KMS コンソールに移動します。 |
| 2 |
。 |
| 3 |
左側のナビゲーション ペインで ロールを選択し、 ロールの作成をクリックします。 |
| 4 |
信頼されたエンティティタイプで、 AWS アカウントを選択します。 |
| 5 |
別の AWS アカウントを選択します。 |
| 6 |
アカウント ID フィールドに、Control Hub インターフェイスで提供された AWS アカウント ID を入力します。 これは |
| 7 |
[次へ] をクリックします。 |
| 8 |
権限の追加の下で、作成した IAM ポリシーを検索して選択します。 |
| 9 |
[次へ] をクリックします。 |
| 10 |
ロール名 とオプションの 説明を入力します。 |
| 11 |
設定を確認して、 ロールの作成をクリックします。 |
開始する前に
Control Hub でアクティブ化する前に、AWS KMS キーを作成する必要があります。この記事の AWS KMS キーを作成する を参照してください。
Webex に AWS KMS キーへのアクセス権を付与する必要があります。この記事の AWS KMS キーへのアクセス権を持つ Cisco KMS を承認する を参照してください。
| 1 | |
| 2 |
をクリックし、 Bring Your Own Key (BYOK) をオンに切り替えます。 BYOK を無効にすると、 Webex 共通デフォルト キー が組織のメイン キーになります。 |
| 3 |
AWS KMS キーの追加 を選択し、 次へをクリックします。 |
| 4 |
AWS コンソールから次の ARN を取得します。
|
| 5 |
Control Hub で、 プライマリキー ARNを入力します。該当する場合は、 バックアップキー ARN と IAM ロール ARN もそれぞれのフィールドに入力します。次に、 追加をクリックします。 プライマリキー ARN は Cisco KMS にアップロードされ、そこでキーへのアクセスが検証されます。次に、Control Hub に、新しい AWS KMS キーの Cisco KMS キー ID と、現在アクティブな Cisco KMS キー ID(存在する場合)が表示されます。 これが最初の AWS KMS キーである場合、現在アクティブなキーは Webex 共通デフォルト キー (現在組織のキーを暗号化するために使用されているキー) です。 |
| 6 |
キーをアクティブ化する方法を選択します。
|
| 1 |
Control Hubにサインインし、 。 |
| 2 |
アクティブな AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
新しい AWS KMS キーと新しい ARN を入力し、 追加をクリックします。 このプロセスについては、この記事の AMS KMS キーを追加してアクティブ化する で説明されています。
|
| 5 |
[アクティベート ] をクリックします。 アップロードした新しい AWS KMS キーはアクティブ状態になります。 Webex が新しいアクティブ AWS KMS キーを使用してすべてのコンテンツを暗号化し終えるまで、古い AWS KMS キーはローテーション状態のままになります。再暗号化すると、古い AWS KMS キーは Control Hub から自動的に消えます。 |
| 1 |
Control Hubにサインインし、 。 |
| 2 |
別のキーを追加をクリックします。 |
| 3 |
新しい AWS KMS キーを入力し、 追加をクリックします。 Control Hub には、新しい AWS KMS キーの Cisco KMS キー ID と、現在アクティブな Cisco KMS キー ID が表示されます。 このプロセスについては、この記事の AMS KMS キーを追加してアクティブ化する で説明されています。 |
| 4 |
[アクティベート ] をクリックします。 アップロードした新しい AWS KMS キーはアクティブ状態になります。 Webex が新しいアクティブ AWS KMS キーを使用してすべてのコンテンツを暗号化し終えるまで、古い AWS KMS キーはローテーション状態のままになります。再暗号化すると、古い AWS KMS キーは Control Hub から自動的に消えます。 |
| 1 |
Control Hubにサインインし、 。 |
| 2 |
現在アクティブな AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
キーの失効を確認します。 キーを完全に取り消すには最大 10 分かかります。AWS KMS キーはローカルで失効した状態になります。
|
顧客管理者が AWS KMS コンソールからキーを取り消した場合、Control Hub では AWS KMS キーが「Amazon によって取り消されました」状態で表示されます。
| 1 |
Control Hubにサインインし、 。 |
| 2 |
失効した AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
キーの削除を確認します。 削除後、30 日以内にキーを回復できます。 |
AWS コンソールから CMK を削除する前に、まず Control Hub から AWS KMS キーを削除することをお勧めします。Control Hub で AWS KMS キーを削除する前に AWS コンソールから CMK を削除すると、問題が発生する可能性があります。
AWS コンソールから CMK を削除する前に、AWS KMS キーが Control Hub に表示されなくなっていることを確認してください。
| 1 |
Control Hubにサインインし、 。 |
| 2 |
削除された AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
キーの復元を確認します。 復元されると、Control Hub にはキーが失効状態で表示されます。 |
AWS KMS キーで問題が発生した場合は、次の情報を使用してトラブルシューティングを行ってください。
-
AWS KMS キー ARN。例えば、
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。 -
AWS KMS キーに対する付与。
-
AWS KMS キーの状態。たとえば、AWS KMS キーが無効になっています。
この例では、OpenSSL コマンドライン ツールのバージョン 3.0 を使用します。これらのツールの詳細については、 OpenSSL を参照してください。
| 1 | |
| 2 |
。 |
| 3 |
公開鍵のダウンロードをクリックします。 Webex HSM 公開キーは、ローカル システム上の .pem ファイルで取得されます。 |
| 4 |
256 ビット (32 バイト) のキーを作成します。 この例では、暗号化されていない新しいキーにファイル名 main_key.bin を使用します。 あるいは、16 進ダンプ、Python、またはオンライン ジェネレーターを使用して 32 バイトのランダム値を生成することもできます。また、 AWS KMS キーを作成および管理することもできます。 |
| 5 |
Webex HSM 公開キーを使用して新しいキーを暗号化します。 この例では、暗号化された出力キーにファイル名 main_key_encrypted.bin を使用し、ファイル名 path/to/public.pem は Webex 公開キーです。 暗号化されたキーを Control Hub にアップロードする準備ができました。 |
