コメントありがとうございます。
自分の顧客のメイン キーを管理
フィードバックがある場合
エンドツーエンドのセキュリティへのコミットメントの一環として、Webex は各組織に代わってメイン キーを持っています。コンテンツを直接暗号化しないが、コンテンツを暗号化する組織の他のキーを暗号化するために使用されるため、メイン キーと呼びます。キー階層内の基本レベルはコンテンツキー(CK)と呼ばれ、キーの中間レベルはキー暗号化キー(KEK)と呼ばれます。
一部の組織は独自のセキュリティを管理することを好むため、独自のカスタマー メイン キー (CMK) を管理するオプションを提供します。つまり、Webex がコンテンツの暗号化キーを暗号化するために使用するメイン キーを作成してローテーション (再暗号化) する責任があります。
今後、キーは、特に指定されていない限り、CMK を参照します。
展開方法
-
Webex は CMK をハードウェア セキュリティ モジュール (HSM) で保持し、Webex サービスが CMK 値にアクセスできないようにします。
-
Control Hub には、現在アクティブまたは取り消された CMK と、HSM に保存されている保留中の CMK が表示されます。CMK をローテーション(再暗号化)する必要がある場合は、新しい CMK を生成し、HSM の公開キーで暗号化して、HSM のみが復号して保存できるようにします。
-
次に、Control Hub で新しい CMK をアップロードしてアクティベートします。Webex はすぐに新しい CMK を使用してコンテンツ キーの暗号化を開始します。Webex は古い CMK を保持しますが、コンテンツ暗号化キーが新しい CMK で保護されていることを確認するまでです。
一部の組織が Webex の外部で独自のキーを管理することを好むことは認識しています。そのため、Amazon Web Services (AWS) キー管理サービス (KMS) で独自の CMK を管理するオプションが提供されています。これは、AWS KMS でキーを管理する責任があることを意味します。Webex が AWS コンソールから AWS KMS キーを使用して暗号化および復号することを許可します。CMK の代わりに、AWS KMS キー ID を Webex に提供します。つまり、Webex がクラウド内のコンテンツ暗号化キーを暗号化するために使用する AWS KMS キーを作成してローテーション (再暗号化) する責任があります。
展開方法
-
AWS でキーを作成します。AWS KMS はキーを管理し、ハードウェア セキュリティ モジュール (HSM) にキーを保存するために使用されます。
-
Webex に、AWS コンソールから AWS KMS キーを使用するためのアクセスを提供します。
つまり、CMK を Control Hub にアップロードする代わりに、Webex に AWS KMS キーへのアクセスを提供します。AWS KMS キーは AWS KMS を残さず、Webex サービスは AWS KMS キー資料にアクセスできません。
Control Hub には、現在アクティブまたは取り消された AWS KMS キーと、AWS KMS に保存されている保留中の AWS KMS キーが表示されます。AWS KMS キーをローテーションする必要がある場合は、AWS KMS コンソールで新しい AWS KMS キーを生成します。
-
次に、Control Hub で新しい AWS KMS キーを追加してアクティベートし、新しい AWS KMS キーの Amazon Resource Name (ARN) を提供します。Webex はすぐに新しい AWS KMS キーを使用してコンテンツ キーの暗号化を開始します。Webex は古い AWS KMS キーを必要としなくなりました。コンテンツ暗号化キーがローテーションされ、新しい AWS KMS キーで保護されると、古い AWS KMS キーは、Control Hub から消えます。Webex は AWS KMS から AWS KMS キーを削除しません。顧客管理者は、AWS KMS からキーを削除できます。
キーライフサイクル
キー状態の定義
- 保留中
-
この状態のキーは HSM に保存されますが、暗号化にはまだ使用されていません。Webex はこの CMK を暗号化に使用しません。
この状態にあるキーは 1 つのみです。 - アクティブ
-
Webex は現在、この CMK を使用して組織の他のキーを暗号化しています。
この状態にあるキーは 1 つのみです。 - 回転
-
Webex は一時的にこの CMK を使用しています。Webex は、以前にこのキーで暗号化されたデータとキーを復号化する必要があります。このキーは、ローテーション(再暗号化)が完了すると使用できなくなります。
ローテーションが完了する前に新しいキーがアクティベートされると、複数のキーがこの状態になることができます。 - 廃止
-
Webex はこの CMK を使用していません。このキーは暗号化に使用されなくなりました。キー存続期間が設定され、その後、このキーが HSM から削除されます。
- 取り消し済み
-
Webex はこの CMK を使用していません。このキーで暗号化されたデータとキーがある場合、Webex はデータとキーを解読するために使用できません。
- アクティブ キーが侵害されたと疑われる場合にのみ、取り消す必要があります。多くの操作が適切に動作することを防ぐため、これは重大な決定です。たとえば、新しいスペースを作成したり、Webex クライアントのコンテンツを解読したりできなくなります。
- この状態にあるキーは 1 つのみです。新しいキーをローテーション(再暗号化)するには、このキーを再アクティベートする必要があります。
- この CMK は削除できますが、削除する必要はありません。セキュリティ侵害の疑いがある解決後、復号/再暗号化のために保持しておきたい場合があります。
- 削除されました
-
Webex はこの CMK を使用していません。この状態の動作は、[取り消し済み(Revoked)] 状態と同じです。ただし、キー存続期間が設定されているため、このキーが HSM から削除されます。
- 削除された CMK が [削除済み(Removed)] 状態に移行する場合、元のキーを復元して組織に機能を復元する必要があります。
- 元のキーのバックアップ コピーを保持しておくことをお勧めします。そうしないと、組織は機能しなくなります。
- 削除されました
-
これは論理的な状態です。Webex はこの CMK を HSM に保存していません。Control Hub には表示されません。
所有権
CMK の所有権を取得することにより、次のことを実行する必要があります。
- 安全なキーの作成とバックアップの責任を負う
- キーを失うことによる意味を理解する
- ベストプラクティスとしてアクティブCMKを年に1回以上再暗号化する
キー作成
これらのパラメータを使用して独自の CMK を作成する必要があります。キーは次である必要があります。
- 長さ 256 ビット (32 バイト)
- RSA-OAEP スキームで暗号化
- Webex クラウド HSM 公開キーで暗号化済み
キー生成ソフトウェアは、次の機能が必要です。
- SHA-256 ハッシュ関数
- MGF1 マスク生成機能
- PKCS#1 OAEP パディング
例: この記事の [リソース] タブで、OpenSSL でキーを作成し、暗号化します。
認証
Control Hub で Webex 組織にアクセスする必要があります。CMK を管理するには、フル管理者 である必要があります。
| 1 | |
| 2 |
に移動します。 BYOK を有効にするには、[自分のキーを使用 (BYOK)] をオンに切り替えます。BYOK を無効にすると、Webex 共通のデフォルト キー が組織のメイン キーになります。 |
| 3 |
[カスタム キーをアップロード] を選択し、[次へ] をクリックします。 |
| 4 |
[公開キーをダウンロード] をクリックします。 Webex HSM 公開キーをローカル システムの .pem ファイルに保存します。 |
| 5 |
キー管理ソフトウェアを使用して、暗号的に安全な 256 ビット(32 バイト)のランダムキーを作成します。 |
| 6 |
Webex HSM 公開キーを使用して、新しいキーを暗号化します。 必要な暗号化パラメータは次のとおりです。
例: この記事の [リソース] タブで、OpenSSL でキーを作成し、暗号化します。
|
| 7 |
暗号化されたキーをファイル システムからドラッグし、Control Hub インターフェイスのアップロードエリアにドロップするか、[ファイルを選択] をクリックします。 |
| 8 |
[次へ] をクリックします。 Webex はキーを HSM にアップロードし、そこで解読と検証が行われます。Control Hub には、新しい CMK の ID と現在アクティブな CMK の ID が表示されます (ある場合)。 これが最初の CMK の場合、現在アクティブなキーは Webex 共通のデフォルト キー (組織のキーの暗号化に現在使用しているキー) です。 |
| 9 |
キーをアクティベートする方法を選択します。
|
次に行うこと
| 1 | |
| 2 |
に移動します。 |
| 3 |
アクティブな CMK に移動します。 |
| 4 |
|
| 5 |
新しいキーを作成して暗号化します (まだ作成していない場合)。 このプロセスは、この記事の「顧客のメイン キーを作成してアクティベートする 」で説明されています。
|
| 6 |
ファイル システムから新しいキーをドラッグして、Control Hub にドロップします。 |
| 7 |
[新しいキーをアクティベート] をクリックします。 アップロードした新しいキーは [アクティブ(Active)] 状態になります。 古い CMK は、Webex が新しいアクティブ CMK ですべてのコンテンツの暗号化を終了するまで、ローテーション (再暗号化状態) のままになります。再暗号化すると、キーは廃止状態になります。その後、Webex は古い CMK を削除します。 |
をクリックし、
所有権
AWS KMS キーの所有権を取得することで、次のことを実行する必要があります。
- AWS KMS キーの安全な作成とバックアップを担当します。
- AWS KMS キーを失う影響を理解してください。
- ベスト プラクティスとして、アクティブ AMS KMS キーを少なくとも 1 年に 1 回再暗号化します。
認証
- Webex 組織の AWS KMS でキーを作成および管理することが許可されている必要があります。
- Control Hub で Webex 組織にアクセスする必要があります。AWS KMS キーを管理するには、フル管理者 である必要があります。
| 1 |
AWS にサインインし、AWS KMS コンソールに移動します。 |
| 2 |
[顧客管理キー] を選択し、[キーの作成] をクリックします。 |
| 3 |
次の属性でキーを作成します。
|
| 4 |
[次へ] をクリックします。 |
| 5 |
設定を確認し、[完了] をクリックします。 AWS KMS キーが作成されます。
|
| 6 |
[顧客管理キー] に移動し、エイリアスまたはキー ID をクリックして ARN を表示します。 |
次に行うこと
ARN の一時コピーを保持することをお勧めします。この ARN は、Control Hub で AWS KMS キーを追加およびアクティベートするために使用されます。
| 1 |
AWS にサインインし、AWS CloudShell コンソールに移動します。 |
| 2 |
KMS_CISCO_USER_ARN は組織固有のものです。Control Hub で新しい AWK KMS キーをアクティベートすると、[AWS キーを追加] ウィンドウに ARN が表示されます。 |
開始する前に
AWS KMS キーを Control Hub でアクティベートする前に、作成する必要があります。この記事の「AWS KMS キーを作成する 」を参照してください。
Webex に AWS KMS キーへのアクセスを提供する必要があります。この記事の「AWS KMS キーにアクセスして Cisco KMS を承認する 」を参照してください。
| 1 | |
| 2 |
に移動し、[自分のキーを使用 (BYOK)] をオンに切り替えます。 BYOK を無効にすると、Webex 共通のデフォルト キー が組織のメイン キーになります。 |
| 3 |
[AWS KMS キーを追加] を選択し、[次へ] をクリックします。 |
| 4 |
AWS コンソールから ARN を取得します。 |
| 5 |
Control Hub に ARN を入力し、[追加] をクリックします。 キー ARN は Cisco KMS にアップロードされ、キーへのアクセスが検証されます。その後、Control Hub には、新しい AWS KMS キーの Cisco KMS キー ID、および現在アクティブな Cisco KMS キー ID が表示されます (ある場合)。 これが最初の AWS KMS キーである場合、現在アクティブなキーは Webex 共通のデフォルト キー (組織のキーの暗号化に現在使用しているキー) です。 |
| 6 |
キーをアクティベートする方法を選択します。
|
| 1 |
Control Hub にサインインし、 に移動します。 |
| 2 |
アクティブな AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
新しい AWS KMS キーと新しい ARN を入力し、[追加] をクリックします。 このプロセスは、この記事の 「AMS KMS キーを追加してアクティベートする」 で説明されています。
|
| 5 |
[アクティベート ] をクリックします。 アップロードした新しい AWS KMS キーは、アクティブ状態になります。 古い AWS KMS キーは、Webex が新しいアクティブ AWS KMS キーですべてのコンテンツの暗号化を終了するまで、ローテーション状態のままになります。再暗号化すると、古い AWS KMS キーが Control Hub から自動的に消えます。 |
| 1 |
Control Hub にサインインし、 に移動します。 |
| 2 |
[別のキーの追加] をクリックします。 |
| 3 |
新しい AWS KMS キーを入力し、[追加] をクリックします。 Control Hub には、新しい AWS KMS キーの ID と、現在アクティブな Cisco KMS キー ID の ID が表示されます。 このプロセスは、この記事の 「AMS KMS キーを追加してアクティベートする」 で説明されています。 |
| 4 |
[アクティベート ] をクリックします。 アップロードした新しい AWS KMS キーは、アクティブ状態になります。 古い AWS KMS キーは、Webex が新しいアクティブ AWS KMS キーですべてのコンテンツの暗号化を終了するまで、ローテーション状態のままになります。再暗号化すると、古い AWS KMS キーが Control Hub から自動的に消えます。 |
| 1 |
Control Hub にサインインし、 に移動します。 |
| 2 |
現在アクティブな AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
キー失効を確認します。 キーを完全に取り消すまで、最大 10 分かかります。AWS KMS キーは、ローカルで取り消し済みの状態になります。
|
顧客管理者が AWS KMS コンソールからキーを取り消した場合、AWS KMS キーは Control Hub の Amazon によって取り消された状態で表示されます。
| 1 |
Control Hub にサインインし、 に移動します。 |
| 2 |
取り消された AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
キーの削除を確認します。 一度削除すると、30 日以内にキーを復元できます。 |
AWS コンソールから CMK を削除する前に、最初に AWS KMS キーを Control Hub から削除することをお勧めします。Control Hub の AWS KMS キーを削除する前に、AWS コンソールから CMK を削除すると、問題が発生する場合があります。
AWS コンソールから CMK を削除する前に、AWS KMS キーが Control Hub に表示されなくなることを確認してください。
| 1 |
Control Hub にサインインし、 に移動します。 |
| 2 |
削除された AWS KMS キーに移動します。 |
| 3 |
|
| 4 |
キー復元を確認します。 復元すると、Control Hub にキーが取り消された状態で表示されます。 |
AWS KMS キーで問題が発生した場合は、次の情報を使用してトラブルシューティングします。
-
AWS KMS キー ARN。たとえば、
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890abです。 -
AWS KMS のキー状態。たとえば、AWS KMS キーが無効になります。
この例では、OpenSSL コマンドラインツールバージョン 3.0 を使用しています。これらのツールの詳細については、OpenSSL を参照してください。
| 1 | |
| 2 |
に移動します。 |
| 3 |
[公開キーをダウンロード] をクリックします。 ローカル システムの .pem ファイルで Webex HSM 公開キーを取得します。 |
| 4 |
256 ビット (32 バイト) キーを作成します。 この例では、暗号化されていない新しいキーにファイル名 main_key.bin を使用します。 あるいは、16 進数ダンプ、Python、またはオンラインジェネレーターを使用して 32 バイトのランダム値を生成することもできます。AWS KMS キーを作成および管理することもできます。 |
| 5 |
Webex HSM 公開キーを使用して、新しいキーを暗号化します。 この例では、暗号化された出力キーにはファイル名 main_key_encrypted.bin を使用し、Webex 公開キーにはファイル名 path/to/public.pem を使用します。 暗号化されたキーが Control Hub にアップロードする準備ができました。 |
