피드백을 보내 주셔서 감사합니다.
고객 메인 키를 직접 관리하세요
피드백이 있습니까?이 기능은 Webex for Government에 대해 지원되지 않습니다.
종단 간 보안에 대한 당사의 노력의 일환으로, Webex는 각 조직을 대신하여 주요 키를 보관합니다. 이를 기본 키라고 부르는 이유는 콘텐츠를 직접 암호화하지 않고 조직의 다른 키를 암호화하여 콘텐츠를 암호화하는 데 사용되기 때문입니다. 키 계층의 기본 수준을 콘텐츠 키(CK)라고 하며, 키의 중간 수준을 키 암호화 키(KEK)라고 합니다.
일부 조직에서는 자체 보안을 관리하는 것을 선호한다는 점을 인지하고 있으므로, 고객이 직접 고객 기본 키(CMK)를 관리할 수 있는 옵션을 제공합니다. 즉, Webex가 콘텐츠 암호화 키를 암호화하는 데 사용하는 기본 키를 생성하고 순환(재암호화)하는 책임을 사용자가 져야 한다는 의미입니다.
앞으로는 달리 지정하지 않는 한 키는 CMK를 참조합니다.
작동 방식
-
Webex는 CMK를 하드웨어 보안 모듈(HSM)에 보관하므로 Webex 서비스가 CMK 값에 액세스할 수 없습니다.
-
Control Hub는 현재 활성화되거나 취소된 CMK와 HSM에 저장된 보류 중인 CMK를 보여줍니다. CMK를 회전(재암호화)해야 하는 경우 새 CMK를 생성하고 HSM의 공개 키로 암호화하면 HSM만 이를 해독하고 저장할 수 있습니다.
-
그런 다음 Control Hub에서 새 CMK를 업로드하고 활성화합니다. Webex는 즉시 새로운 CMK를 사용하여 콘텐츠 키를 암호화하기 시작합니다. Webex는 콘텐츠 암호화 키가 새로운 CMK로 보호된다는 확신이 들 때까지만 이전 CMK를 유지합니다.
우리는 기존의 모든 콘텐츠를 소급적으로 다시 암호화하지 않습니다. CMK를 활성화하면 모든 새 콘텐츠(공간 및 회의)가 다시 암호화되어 보호됩니다.
일부 조직에서는 Webex 외부에서 자체 키를 관리하는 것을 선호한다는 점을 알고 있습니다. 그래서 우리는 Amazon Web Services(AWS) 키 관리 서비스(KMS)에서 고객이 직접 CMK를 관리할 수 있는 옵션을 제공합니다. 즉, AWS KMS에서 키를 관리할 책임이 사용자에게 있다는 의미입니다. AWS 콘솔을 통해 AWS KMS 키를 사용하여 Webex가 암호화 및 암호 해독하도록 승인합니다. CMK 대신 AWS KMS 키 ID를 Webex에 제공합니다. 즉, Webex가 클라우드에서 콘텐츠 암호화 키를 암호화하는 데 사용하는 AWS KMS 키를 생성하고 순환(재암호화)하는 책임을 사용자가 져야 한다는 의미입니다.
작동 방식
-
AWS를 사용하여 키를 생성합니다. AWS KMS는 키를 관리하는 데 사용되며 키를 하드웨어 보안 모듈(HSM)에 저장합니다.
-
AWS 콘솔을 통해 Webex에 AWS KMS 키를 사용할 수 있는 액세스 권한을 제공합니다.
즉, CMK를 Control Hub에 업로드하는 대신 Webex에 AWS KMS 키에 대한 액세스 권한을 제공하는 것입니다. AWS KMS 키는 AWS KMS에서 유출되지 않으며 Webex 서비스는 AWS KMS 키 자료에 액세스할 수 없습니다.
Control Hub는 현재 활성화된 AWS KMS 키 또는 취소된 AWS KMS 키와 AWS KMS에 저장된 보류 중인 AWS KMS 키를 표시합니다. AWS KMS 키를 교체해야 하는 경우 AWS KMS 콘솔을 사용하여 새로운 AWS KMS 키를 생성합니다.
-
그런 다음 Control Hub에서 새 AWS KMS 키를 추가하고 활성화하고 새 AWS KMS 키의 Amazon 리소스 이름(ARN)을 제공합니다. Webex는 즉시 새로운 AWS KMS 키를 사용하여 콘텐츠 키를 암호화하기 시작합니다. Webex에서는 더 이상 기존 AWS KMS 키가 필요하지 않습니다. 콘텐츠 암호화 키가 순환되고 새로운 AWS KMS 키로 보호되면 이전 AWS KMS 키는 Control Hub에서 사라집니다. Webex는 AWS KMS에서 AWS KMS 키를 삭제하지 않습니다. 고객 관리자는 AWS KMS에서 키를 제거할 수 있습니다.
키 라이프사이클
주요 상태 정의
- 보류 중
-
이 상태의 키는 HSM에 저장되지만 아직 암호화에는 사용되지 않습니다. Webex는 암호화에 이 CMK를 사용하지 않습니다.
이 상태는 하나의 키만 가능합니다.
- 활동 중
-
Webex는 현재 이 CMK를 사용하여 조직의 다른 키를 암호화하고 있습니다.
이 상태는 하나의 키만 가능합니다.
- 회전
-
Webex는 일시적으로 이 CMK를 사용하고 있습니다. Webex에서는 이 키로 이전에 암호화된 데이터와 키를 해독하기 위해 이 키가 필요합니다. 이 키는 순환(재암호화)이 완료되면 폐기됩니다.
회전이 완료되기 전에 새 키가 활성화되면 여러 개의 키가 이 상태가 될 수 있습니다.
- 종료됨
-
Webex는 이 CMK를 사용하지 않습니다. 이 키는 더 이상 암호화에 사용되지 않습니다. 키의 수명(TTL)이 설정된 후 이 키는 HSM에서 제거됩니다.
- 철회됨
-
Webex는 이 CMK를 사용하지 않습니다. 이 키로 암호화된 데이터와 키가 있더라도 Webex는 이를 사용하여 데이터와 키를 해독할 수 없습니다.
- 활성 키가 손상되었다고 의심되는 경우에만 해당 키를 취소하면 됩니다. 이는 많은 작업이 제대로 진행되지 못하게 하는 심각한 결정입니다. 예를 들어, 새로운 공간을 만들 수 없고 Webex 클라이언트에서 콘텐츠를 해독할 수 없습니다.
- 이 상태는 하나의 키만 가능합니다. 새로운 키를 순환(다시 암호화)하려면 이 키를 다시 활성화해야 합니다.
- 이 CMK는 삭제할 수 있지만 반드시 삭제할 필요는 없습니다. 복호화를 위해 보관하는 것이 좋습니다. / 의심되는 보안 침해를 해결한 후 다시 암호화합니다.
- 삭제됨
-
Webex는 이 CMK를 사용하지 않습니다. 이 상태에서의 동작은 취소 상태와 동일하지만 키 수명이 설정된 후 해당 키가 HSM에서 제거된다는 점이 다릅니다.
- 삭제된 CMK가 제거됨 상태로 진행되면 조직의 기능을 복원하려면 원래 키를 복구해야 합니다.
- 원본 키의 백업 사본을 보관하는 것이 좋습니다. 그렇지 않으면 조직이 더 이상 기능하지 않습니다.
- 제거됨
-
이는 논리적인 상태입니다. Webex에는 HSM에 이 CMK가 저장되어 있지 않습니다. Control Hub에 표시되지 않습니다.
소유권
CMK의 소유권을 취득하면 다음을 수행해야 합니다.
- 키의 안전한 생성 및 백업에 대한 책임을 지십시오.
- 열쇠를 잃어버렸을 때의 의미를 이해하세요
- 모범 사례로 활성 CMK를 연 1회 이상 다시 암호화하세요.
키 생성
이러한 매개변수를 사용하여 사용자 고유의 CMK를 만들어야 합니다. 귀하의 키는 다음과 같아야 합니다.
- 256비트(32바이트) 길이
- RSA-OAEP 방식으로 암호화됨
- Webex 클라우드 HSM 공개 키로 암호화됨
키 생성 소프트웨어는 다음 기능을 갖춰야 합니다.
- SHA-256 해시 함수
- MGF1 마스크 생성 함수
- PKCS#1 OAEP 패딩
예를 참조하세요. 이 문서의 리소스 탭에서 OpenSSL 을 사용하여 키를 만들고 암호화합니다.
인증
Control Hub에서 Webex 조직에 액세스할 수 있어야 합니다. CMK를 관리하려면 전체 관리자 여야 합니다.
| 1 | |
| 2 |
. BYOK를 활성화하려면 Bring Your Own Key(BYOK) 를 켜세요. BYOK를 비활성화하면 Webex 공통 기본 키 가 조직의 기본 키가 됩니다. |
| 3 |
사용자 정의 키 업로드 를 선택하고 다음을 클릭합니다. |
| 4 |
공개 키 다운로드를 클릭하세요. 로컬 시스템의 .pem 파일에 Webex HSM 공개 키를 저장합니다. |
| 5 |
키 관리 소프트웨어를 사용하여 암호화된 256비트(32바이트) 난수 키를 생성합니다. |
| 6 |
Webex HSM 공개 키를 사용하여 새 키를 암호화합니다. 필요한 암호화 매개변수는 다음과 같습니다.
예를 참조하세요. 이 문서의 리소스 탭에서 OpenSSL 을 사용하여 키를 만들고 암호화합니다.
|
| 7 |
파일 시스템에서 암호화된 키를 끌어서 Control Hub 인터페이스의 업로드 영역에 놓거나 파일 선택을 클릭합니다. |
| 8 |
다음을 클릭합니다. Webex는 키를 HSM에 업로드하고, HSM에서 키를 복호화하고 검증합니다. 그러면 Control Hub에서 새 CMK의 ID와 현재 활성화된 CMK의 ID(있는 경우)가 표시됩니다. 이것이 첫 번째 CMK인 경우 현재 활성화된 키는 Webex 공통 기본 키 (현재 조직의 키를 암호화하는 데 사용하는 키)입니다. |
| 9 |
키를 활성화할 방법을 선택하세요.
|
다음에 수행할 작업
우리는 기존의 모든 콘텐츠를 소급적으로 다시 암호화하지 않습니다. CMK를 활성화하면 모든 새 콘텐츠(공간 및 회의)가 다시 암호화되어 보호됩니다.
| 1 | |
| 2 |
. |
| 3 |
활성 CMK로 이동합니다. |
| 4 |
|
| 5 |
새로운 키를 만들고 암호화합니다(아직 만들지 않았다면). 이 문서의 고객 기본 키 생성 및 활성화 에서 해당 프로세스를 설명합니다.
|
| 6 |
파일 시스템에서 새 키를 끌어서 Control Hub에 놓습니다. |
| 7 |
새 키 활성화를 클릭하세요. 업로드한 새 키는 활성 상태가 됩니다. Webex가 새 활성 CMK로 모든 콘텐츠 암호화를 완료할 때까지 이전 CMK는 순환(재암호화 상태) 상태를 유지합니다. 다시 암호화한 후 키는 폐기 상태로 전환됩니다. 그런 다음 Webex는 이전 CMK를 삭제합니다. |
을 클릭하고
소유권
AWS KMS 키의 소유권을 취득하면 다음을 수행해야 합니다.
- AWS KMS 키의 안전한 생성 및 백업에 대한 책임을 맡으세요.
- AWS KMS 키를 잃어버렸을 때의 영향을 알아보세요.
- 모범 사례로, 활성 AMS KMS 키를 최소한 1년에 한 번 다시 암호화하세요.
인증
- Webex 조직의 AWS KMS에서 키를 생성하고 관리할 수 있는 권한이 있어야 합니다.
- Control Hub에서 Webex 조직에 액세스할 수 있어야 합니다. AWS KMS 키를 관리하려면 전체 관리자 여야 합니다.
| 1 |
AWS 에 로그인하고 AWS KMS 콘솔로 이동합니다. |
| 2 |
고객 관리 키 를 선택한 다음 키 만들기를 클릭합니다. |
| 3 |
다음 속성을 사용하여 키를 만듭니다.
|
| 4 |
다음을 클릭합니다. |
| 5 |
설정을 검토하고 마침을 클릭하세요. AWS KMS 키가 생성되었습니다.
|
| 6 |
고객 관리 키 로 이동하여 별칭 또는 키 ID를 클릭하여 ARN을 확인하세요. |
다음에 수행할 작업
ARN의 임시 사본을 보관하는 것이 좋습니다. 이 ARN은 Control Hub에 AWS KMS 키를 추가하고 활성화하는 데 사용됩니다.
또한 데이터 가용성과 복원력을 보장하기 위해 백업 키를 생성하는 것이 좋습니다. 이를 통해 지역적 정전 중에도 암호화된 데이터에 액세스할 수 있습니다. 자세한 내용은 이 문서의 AWS KMS 백업 키 만들기 를 참조하세요.
시작하기 전에
백업 키를 생성하기 전에 다중 지역 키를 생성했는지 확인하세요. 자세한 내용은 이 문서의 AWS KMS 키 만들기 를 참조하세요.
| 1 |
AWS 에 로그인하고 AWS KMS 콘솔로 이동합니다. |
| 2 |
새로 생성된 다중 지역 키를 선택하세요. |
| 3 |
지역성에서 새 복제 키 만들기를 클릭합니다. |
| 4 |
AWS 지역 목록에서 백업 지역을 선택하고 다음을 클릭합니다. 예를 들어, 키가 미국 서부(us-west-1)에서 생성된 경우 백업 키는 미국 동부(us-east-1)에서 생성하는 것을 고려하세요.
|
| 5 |
다음 속성을 사용하여 키를 만듭니다.
|
| 6 |
다음을 클릭합니다. |
| 7 |
설정을 검토하고 확인 상자를 선택한 다음 새 복제 키 만들기를 클릭합니다. |
KMS 권한을 생성하거나 IAM 역할을 구성하여 Cisco KMS가 AWS KMS 키에 액세스하도록 권한을 부여할 수 있습니다. 안전하고 유연한 키 관리 통합을 보장하기 위해 조직의 요구 사항에 가장 적합한 옵션을 선택하세요.
KMS 보조금 사용
이 방법은 AWS KMS 키에 대한 암호화 작업을 수행할 수 있는 권한을 Cisco KMS에 직접 부여하는 것을 포함합니다.
| 1 |
AWS 에 로그인하고 AWS CloudShell 콘솔로 이동합니다. |
| 2 |
다음과 같이 |
IAM 역할 사용
필요한 KMS 권한이 있는 IAM 정책을 만든 다음 Cisco KMS가 맡을 수 있는 IAM 역할에 연결하여 안전하고 중앙화된 액세스 관리를 구현합니다.
IAM 정책 구성
| 1 |
AWS 에 로그인하고 AWS KMS 콘솔로 이동합니다. |
| 2 |
. |
| 3 |
왼쪽 탐색 창에서 정책을 선택한 다음 정책 만들기를 클릭합니다. |
| 4 |
정책 편집기 섹션에서 JSON 옵션을 선택합니다. |
| 5 |
다음 정책 문서를 복사하여 붙여넣으세요. |
| 6 |
다음을 클릭합니다. |
| 7 |
정책 이름 과 선택 사항인 설명을 입력하세요. |
| 8 |
정책 만들기를 클릭하세요. |
IAM 역할 구성
| 1 |
AWS 에 로그인하고 AWS KMS 콘솔로 이동합니다. |
| 2 |
. |
| 3 |
왼쪽 탐색 창에서 역할을 선택한 다음 역할 만들기를 클릭합니다. |
| 4 |
신뢰할 수 있는 엔터티 유형에서 AWS 계정을 선택합니다. |
| 5 |
다른 AWS 계정을 선택하세요. |
| 6 |
계정 ID 필드에 Control Hub 인터페이스에서 제공된 AWS 계정 ID를 입력합니다. 이는 |
| 7 |
다음을 클릭합니다. |
| 8 |
권한 추가에서 방금 만든 IAM 정책을 검색하여 선택합니다. |
| 9 |
다음을 클릭합니다. |
| 10 |
역할 이름 과 선택 사항인 설명을 입력하세요. |
| 11 |
설정을 검토하고 역할 만들기를 클릭하세요. |
시작하기 전에
Control Hub에서 AWS KMS 키를 활성화하기 전에 먼저 AWS KMS 키를 생성해야 합니다. 이 문서의 AWS KMS 키 만들기 를 참조하세요.
Webex에 AWS KMS 키에 대한 액세스 권한을 제공해야 합니다. 이 문서의 AWS KMS 키에 대한 액세스 권한을 Cisco KMS에 부여 를 참조하세요.
| 1 | |
| 2 |
및 개인 키 가져오기(BYOK) 를 켭니다. BYOK를 비활성화하면 Webex 공통 기본 키 가 조직의 기본 키가 됩니다. |
| 3 |
AWS KMS 키 추가 를 선택하고 다음을 클릭합니다. |
| 4 |
AWS 콘솔에서 다음 ARN을 가져옵니다.
|
| 5 |
Control Hub에서 기본 키 ARN을 입력합니다. 해당되는 경우 각각의 필드에 백업 키 ARN 및 IAM 역할 ARN 도 입력합니다. 그런 다음 추가를 클릭합니다. 기본 키 ARN 이 Cisco KMS에 업로드되고, 여기서 키에 대한 액세스가 검증됩니다. 그러면 Control Hub에서 새 AWS KMS 키의 Cisco KMS 키 ID와 현재 활성화된 Cisco KMS 키 ID(있는 경우)를 표시합니다. 이것이 첫 번째 AWS KMS 키인 경우 현재 활성화된 키는 Webex 일반 기본 키 (현재 조직의 키를 암호화하는 데 사용하는 키)입니다. |
| 6 |
키를 활성화할 방법을 선택하세요.
|
| 1 |
Control Hub에 로그인하고 . |
| 2 |
활성화된 AWS KMS 키로 이동합니다. |
| 3 |
|
| 4 |
새로운 AWS KMS 키와 새로운 ARN을 입력하고 추가를 클릭합니다. 이 문서의 AMS KMS 키 추가 및 활성화 에서 해당 프로세스를 설명합니다.
|
| 5 |
활성화를 클릭합니다. 업로드한 새로운 AWS KMS 키가 활성 상태로 전환됩니다. Webex가 새로운 활성 AWS KMS 키로 모든 콘텐츠 암호화를 완료할 때까지 이전 AWS KMS 키는 순환 상태를 유지합니다. 다시 암호화하면 이전 AWS KMS 키는 Control Hub에서 자동으로 사라집니다. |
| 1 |
Control Hub에 로그인하고 . |
| 2 |
다른 키 추가를 클릭하세요. |
| 3 |
새로운 AWS KMS 키를 입력하고 추가를 클릭합니다. Control Hub는 새 AWS KMS 키의 Cisco KMS 키 ID와 현재 활성화된 Cisco KMS 키 ID를 보여줍니다. 이 문서의 AMS KMS 키 추가 및 활성화 에서 해당 프로세스를 설명합니다. |
| 4 |
활성화를 클릭합니다. 업로드한 새로운 AWS KMS 키가 활성 상태로 전환됩니다. Webex가 새로운 활성 AWS KMS 키로 모든 콘텐츠 암호화를 완료할 때까지 이전 AWS KMS 키는 순환 상태를 유지합니다. 다시 암호화하면 이전 AWS KMS 키는 Control Hub에서 자동으로 사라집니다. |
| 1 |
Control Hub에 로그인하고 . |
| 2 |
현재 활성화된 AWS KMS 키로 이동합니다. |
| 3 |
|
| 4 |
키 취소를 확인하세요. 키를 완전히 취소하는 데 최대 10분이 걸릴 수 있습니다. AWS KMS 키는 로컬로 취소됨 상태로 전환됩니다.
|
고객 관리자가 AWS KMS 콘솔에서 키를 취소하면 AWS KMS 키는 Control Hub에서 Amazon에 의해 취소됨 상태로 표시됩니다.
| 1 |
Control Hub에 로그인하고 . |
| 2 |
취소된 AWS KMS 키로 이동합니다. |
| 3 |
|
| 4 |
키 삭제를 확인하세요. 삭제 후 30일 이내에 키를 복구할 수 있습니다. |
AWS 콘솔에서 CMK를 삭제하기 전에 먼저 Control Hub에서 AWS KMS 키를 삭제하는 것이 좋습니다. Control Hub에서 AWS KMS 키를 삭제하기 전에 AWS 콘솔에서 CMK를 삭제하면 문제가 발생할 수 있습니다.
AWS 콘솔에서 CMK를 삭제하기 전에 Control Hub에 AWS KMS 키가 더 이상 표시되지 않는지 확인하세요.
| 1 |
Control Hub에 로그인하고 . |
| 2 |
삭제된 AWS KMS 키로 이동합니다. |
| 3 |
|
| 4 |
키 복구를 확인하세요. 복구되면 Control Hub에서 키가 취소됨 상태로 표시됩니다. |
AWS KMS 키에 문제가 발생하면 다음 정보를 사용하여 문제를 해결하세요.
-
AWS KMS 키 ARN. 예를 들어,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
AWS KMS 키 상태. 예를 들어, AWS KMS 키가 비활성화되었습니다.
이 예제에서는 OpenSSL 명령줄 도구 버전 3.0을 사용합니다. 이러한 도구에 대한 자세한 내용은 OpenSSL 을 참조하세요.
| 1 | |
| 2 |
. |
| 3 |
공개 키 다운로드를 클릭하세요. 로컬 시스템의 .pem 파일에서 Webex HSM 공개 키를 얻습니다. |
| 4 |
256비트(32바이트) 키를 생성합니다. 이 예제에서는 암호화되지 않은 새 키에 대해 파일 이름 main_key.bin 을 사용합니다. 또는 Hex 덤프, Python 또는 온라인 생성기를 사용하여 32바이트 난수 값을 생성할 수 있습니다. AWS KMS 키를생성 하고 관리할 수도 있습니다. |
| 5 |
Webex HSM 공개 키를 사용하여 새 키를 암호화합니다. 이 예제에서는 암호화된 출력 키에 대해 파일 이름 main_key_encrypted.bin 을 사용하고 파일 이름 을 사용합니다. path/to/public.pem Webex 공개 키에 대한 정보입니다. 암호화된 키를 Control Hub에 업로드할 준비가 되었습니다. |
