Webex 는 기본적으로 기본적으로 안전하며, 조직의 모든 암호화 키를 암호화하기 위한 기본 키를 보유하고 있습니다. 조직의 기본 키를 제어하려면 Control Hub 및 선호하는 키 관리 도구를 사용하여 제어할 수 있습니다.
종단 간 보안에 대한 약속의 일환으로 Webex 는 각 조직을 대신하여 기본 키를 보유합니다. 콘텐츠를 직접 암호화하지 않기 때문에 기본 키라고 하지만, 콘텐츠를 암호화하는 조직의 다른 키를 암호화하는 데 사용됩니다. 키 계층 구조의 기본 수준을 콘텐츠 키(CK)라고 하고 키의 중간 수준을 키 암호화 키(KEK)라고 합니다.
일부 조직에서는 자체 보안을 관리하는 것을 선호하기 때문에 자체 고객 기본 키(CMK)를 관리할 수 있는 옵션을 제공합니다. 이는 Webex가 콘텐츠 암호화 키를 암호화하는 데 사용하는 기본 키를 만들고 회전(다시 암호화)할 책임이 있음을 의미합니다.
앞으로 달리 지정되지 않는 한 키는 CMK를 참조합니다.
작동 방식
Webex 는 Webex 서비스가 CMK 값에 액세스할 수 없도록 CMK를 하드웨어 보안 모듈(HSM)에 유지합니다.
Control Hub는 현재 활성 또는 취소된 CMK 및 HSM에 저장된 보류 중인 CMK를 표시합니다. CMK를 회전(재암호화)해야 하는 경우, 새로운 CMK를 생성하고 HSM의 공개 키로 암호화하여 HSM만 해독하고 저장할 수 있습니다.
그런 다음 Control Hub에서 새 CMK를 업로드하고 활성화합니다. Webex 는 즉시 새로운 CMK를 사용하여 콘텐츠 키를 암호화하기 시작합니다. Webex 는 이전 CMK를 유지하지만, 콘텐츠 암호화 키가 새로운 CMK에 의해 보호될 때까지만 유지됩니다.
기존의 모든 콘텐츠를 소급적으로 재암호화하지 않습니다. CMK를 활성화하면 모든 새로운 콘텐츠(스페이스 및 미팅)가 다시 암호화되고 보호됩니다. |
일부 조직은 Webex 외부에서 자신의 키를 관리하는 것을 선호합니다. 따라서 Amazon Web Services(AWS) Key Management Service(KMS)에서 자신의 CMK를 관리할 수 있는 옵션을 제공합니다. 이는 AWS KMS에서 키를 관리할 책임이 있음을 의미합니다. AWS 콘솔을 통해 Webex가 AWS KMS 키를 사용하여 암호화하고 해독할 수 있도록 인증합니다. CMK 대신 AWS KMS 키 ID를 Webex에 제공합니다. 이는 Webex가 클라우드에서 콘텐츠 암호화 키를 암호화하는 데 사용하는 AWS KMS 키를 만들고 회전(재암호화)할 책임이 있음을 의미합니다.
작동 방식
AWS를 사용하여 키를 만듭니다. AWS KMS는 키를 관리하고 키를 HSM(하드웨어 보안 모듈)에 저장하는 데 사용됩니다.
AWS 콘솔을 통해 Webex에 AWS KMS 키를 사용할 수 있는 액세스를 제공합니다.
즉, CMK를 Control Hub에 업로드하는 대신 Webex에 AWS KMS 키에 대한 액세스를 제공합니다. AWS KMS 키는 AWS KMS를 떠나지 않으며, Webex 서비스는 AWS KMS 키 자료에 액세스할 수 없습니다.
Control Hub는 현재 활동 중이거나 해지된 AWS KMS 키 및 AWS KMS에 저장된 보류 중인 AWS KMS 키를 표시합니다. AWS KMS 키를 회전해야 하는 경우 AWS KMS 콘솔을 사용하여 새로운 AWS KMS 키를 생성합니다.
그런 다음 Control Hub에서 새로운 AWS KMS 키를 추가하고 활성화하여 새로운 AWS KMS 키의 ARN(Amazon Resource Name)을 제공합니다. Webex는 콘텐츠 키를 암호화하기 위해 새로운 AWS KMS 키를 즉시 사용하기 시작합니다. Webex는 더 이상 이전 AWS KMS 키를 요구하지 않습니다. 콘텐츠 암호화 키가 회전하고 새로운 AWS KMS 키로 보호되면 이전 AWS KMS 키가 Control Hub에서 사라집니다. Webex는 AWS KMS에서 AWS KMS 키를 삭제하지 않습니다. 고객 관리자는 AWS KMS에서 키를 제거할 수 있습니다.
키 수명 주기
주요 상태 정의
- 보류 중
-
이 상태의 키는 HSM에 저장되지만 아직 암호화에 사용되지는 않습니다. Webex 는 암호화에 이 CMK를 사용하지 않습니다.
이 상태에는 하나의 키만 있을 수 있습니다. - 활성
-
Webex 는 현재 이 CMK를 사용하여 조직의 다른 키를 암호화하고 있습니다.
이 상태에는 하나의 키만 있을 수 있습니다. - 회전
-
Webex 는 이 CMK를 일시적으로 사용하고 있습니다. Webex 는 이전에 이 키로 암호화된 데이터 및 키를 해독하기 위해 필요합니다. 이 키는 회전(재암호화)이 완료되면 종료됩니다.
순환이 완료되기 전에 새 키가 활성화된 경우 여러 키가 이 상태에 있을 수 있습니다. - 지원 종료됨
-
Webex 는 이 CMK를 사용하지 않습니다. 이 키는 더 이상 암호화에 사용되지 않습니다. 키 TTL(time-to-live)이 설정되고, 그 후에 이 키는 HSM에서 제거됩니다.
- 취소됨
-
Webex 는 이 CMK를 사용하지 않습니다. 이 키로 암호화된 데이터 및 키가 있는 경우에도 Webex 는 이를 사용하여 데이터 및 키를 해독할 수 없습니다.
- 활성 키가 손상된 것으로 의심되는 경우에만 활성 키를 취소하면 됩니다. 이는 많은 작업이 올바르게 작동하지 못하게 하기 때문에 심각한 결정입니다. 예를 들어, 새로운 스페이스를 만들 수 없으며 Webex 클라이언트에서 콘텐츠를 해독할 수 없게 됩니다.
- 이 상태에는 하나의 키만 있을 수 있습니다. 새 키를 회전(재암호화)하려면 이 키를 다시 활성화해야 합니다.
- 이 CMK는 삭제할 수 있지만 삭제할 필요는 없습니다. 의심스러운 보안 위반을 해결한 후 암호 해독/재암호화를 위해 보관할 수도 있습니다.
- 삭제됨
-
Webex 는 이 CMK를 사용하지 않습니다. 이 상태의 동작은 키 TTL(time-to-live)이 설정되고 그 후에 이 키가 HSM에서 제거된다는 점을 제외하고는 취소됨 상태와 동일합니다.
- 삭제된 CMK가 제거됨 상태로 진행되는 경우 조직에 기능을 복원하려면 원래 키를 복구해야 합니다.
- 원본 키의 백업 복사본을 유지하는 것이 좋습니다. 그렇지 않으면 조직이 더 이상 작동하지 않습니다.
- 제거됨
-
이것은 논리적 상태입니다. Webex 의 HSM에 저장된 이 CMK가 없습니다. Control Hub에 표시되지 않습니다.
소유권
CMK의 소유권을 획득하여 다음을 수행해야 합니다.
- 보안 생성에 대한 책임을 지고 키를 백업하십시오.
- 키 분실의 의미 이해
- 모범 사례로 1년에 한 번 이상 활동 중인 CMK를 다시 암호화
키 생성
이러한 파라미터를 사용하여 고유한 CMK를 생성해야 합니다. 키는 다음과 같아야 합니다.
- 256비트(32바이트) 길이
- RSA-OAEP 체계로 암호화됨
- Webex 클라우드 HSM 공개 키로 암호화됨
키 생성 소프트웨어는 다음을 수행할 수 있어야 합니다.
- SHA-256 해시 함수
- MGF1 마스크 생성 기능
- PKCS#1 OAEP 패딩
참조 예: OpenSSL을 사용하여 키 생성 및 암호화 이 문서의 리소스 탭에서
권한 부여
Control Hub에서 Webex 조직에 액세스할 수 있어야 합니다. 사용자는 다음과 같아야 합니다. 전체 관리자 CMK를 관리합니다.
1 | |
2 | 이동 .BYOK를 활성화하려면 자체 키 가져오기(BYOK) 에. BYOK를 비활성화하면 Webex 공통 기본 키 조직의 기본 키가 됩니다. |
3 | 사용자 정의 키 업로드를 선택하고 다음을 클릭합니다. |
4 | 클릭 공개 키 다운로드 . Webex HSM 공개 키를 로컬 시스템에서 .pem 파일로 저장합니다. |
5 | 키 관리 소프트웨어를 사용하여 암호화된 보안 256비트(32바이트) 임의 키를 만듭니다. |
6 | Webex HSM 공개 키를 사용하여 새 키를 암호화합니다. 필수 암호화 매개변수는 다음과 같습니다.
참조 예: OpenSSL을 사용하여 키 생성 및 암호화 이 문서의 리소스 탭에서
|
7 | 파일 시스템에서 암호화된 키를 끌어 Control Hub 인터페이스의 업로드 영역에 드롭하거나 파일 선택 . |
8 | 다음을 클릭합니다. Webex 는 키를 HSM에 업로드합니다. HSM에서 키가 해독되고 검증됩니다. 그러면 Control Hub가 새 CMK의 ID와 현재 활성 CMK의 ID(있는 경우)를 표시합니다. 이것이 첫 번째 CMK인 경우 현재 활성 키는 Webex 공통 기본 키 (현재 조직의 키를 암호화하는 데 사용하는 키). |
9 | 키를 활성화할 방법을 선택합니다.
|
다음에 수행할 작업
기존의 모든 콘텐츠를 소급적으로 재암호화하지 않습니다. CMK를 활성화하면 모든 새로운 콘텐츠(스페이스 및 미팅)가 다시 암호화되고 보호됩니다. |
1 | |
2 | 이동 . |
3 | 활성 CMK로 이동합니다. |
4 | 클릭회전을 선택합니다. |
5 | 새 키를 만들고 암호화합니다(아직 수행하지 않은 경우). 프로세스는 에 설명되어 있습니다. 고객 기본 키 만들기 및 활성화 이 문서에서.
|
6 | 파일 시스템에서 새 키를 드래그하고 Control Hub에 놓습니다. |
7 | 클릭 새 키 활성화 . 업로드한 새 키는 활성 상태가 됩니다. 이전 CMK는 Webex가 새로운 활성 CMK로 모든 콘텐츠 암호화를 마칠 때까지 회전(재암호화 상태)으로 유지됩니다. 다시 암호화한 후, 키는 은퇴 상태로 이동합니다. 그런 다음 Webex 는 이전 CMK를 삭제합니다. |
소유권
AWS KMS 키를 소유함으로써 다음을 수행해야 합니다.
- 보안 생성 및 AWS KMS 키의 백업에 대한 책임을 지십시오.
- AWS KMS 키 손실의 영향을 이해합니다.
- 1년에 한 번 이상 활성 AMS KMS 키를 모범 사례로 다시 암호화합니다.
권한 부여
- Webex 조직에 대해 AWS KMS에서 키를 만들고 관리하도록 인증되어야 합니다.
- Control Hub에서 Webex 조직에 액세스할 수 있어야 합니다. AWS KMS 키를 관리하려면 전체 관리자이어야 합니다.
1 | AWS에 로그인하고 AWS KMS 콘솔로 이동합니다. |
2 | 고객 관리 키를 선택한 후 키 만들기를 클릭합니다. |
3 | 다음 속성으로 키를 만듭니다.
|
4 | 다음을 클릭합니다. |
5 | 설정을 검토하고 마침을 클릭합니다. AWS KMS 키가 생성됩니다.
|
6 | 고객 관리 키로 이동하고 별칭 또는 키 ID를 클릭하여 ARN을 봅니다. |
다음에 수행할 작업
ARN의 임시 사본을 보관할 것을 권장합니다. 이 ARN은 Control Hub에서 AWS KMS 키를 추가하고 활성화하기 위해 사용됩니다.
1 | AWS에 로그인하고 AWS CloudShell 콘솔로 이동합니다. | ||
2 | 실행하여 예:
|
시작하기 전에
Control Hub에서 활성화하기 전에 AWS KMS 키를 만들어야 합니다. 이 문서에서 AWS KMS 키 만들기를 참조하십시오.
AWS KMS 키에 대한 액세스를 Webex에 제공해야 합니다. 이 문서에서 AWS KMS 키에 액세스하여 Cisco KMS 인증을 참조하십시오.
1 | |
2 | 자신의 키 가져오기(BYOK)를 켭니다. ,BYOK를 비활성화하면 Webex 공통 기본 키 조직의 기본 키가 됩니다. |
3 | AWS KMS 키 추가를 선택하고 다음을 클릭합니다. |
4 | AWS 콘솔에서 ARN을 가져옵니다. |
5 | Control Hub에 ARN을 입력하고 추가를 클릭합니다. 키 ARN이 Cisco KMS에 업로드되고, 키에 대한 액세스가 검증됩니다. 그런 다음 Control Hub는 새로운 AWS KMS 키의 Cisco KMS 키 ID 및 현재 활성화된 Cisco KMS 키 ID를 표시합니다. 이것이 첫 번째 AWS KMS 키인 경우, 현재 활성 키는 Webex 공통 기본 키(현재 조직의 키를 암호화하기 위해 사용하는 키)입니다. |
6 | 키를 활성화할 방법을 선택합니다.
|
1 | Control Hub에 로그인하고 . |
2 | 활성 AWS KMS 키로 이동합니다. |
3 | 클릭회전을 선택합니다. |
4 | 새 AWS KMS 키와 새 ARN을 입력하고 추가를 클릭합니다. 이 프로세스는 이 문서의 AMS KMS 키에 설명되어 있습니다.
|
5 | 활성화를 클릭합니다. 업로드한 새로운 AWS KMS 키는 활성 상태로 이동합니다. 이전 AWS KMS 키는 Webex가 새로운 활성 AWS KMS 키로 모든 콘텐츠를 암호화하는 작업을 마칠 때까지 회전 상태로 유지됩니다. 다시 암호화한 후 이전 AWS KMS 키는 Control Hub에서 자동으로 사라집니다. |
1 | Control Hub에 로그인하고 . |
2 | 다른 키 추가를 클릭합니다. |
3 | 새로운 AWS KMS 키를 입력하고 추가를 클릭합니다. Control Hub는 새로운 AWS KMS 키의 Cisco KMS 키 ID 및 현재 활동 중인 CISCO KMS 키 ID의 ID를 표시합니다. 이 프로세스는 이 문서의 AMS KMS 키에 설명되어 있습니다. |
4 | 활성화를 클릭합니다. 업로드한 새로운 AWS KMS 키는 활성 상태로 이동합니다. 이전 AWS KMS 키는 Webex가 새로운 활성 AWS KMS 키로 모든 콘텐츠를 암호화하는 작업을 마칠 때까지 회전 상태로 유지됩니다. 다시 암호화한 후 이전 AWS KMS 키는 Control Hub에서 자동으로 사라집니다. |
1 | Control Hub에 로그인하고 . |
2 | 현재 활성화된 AWS KMS 키로 이동합니다. |
3 | 클릭로컬 해지를 선택합니다. |
4 | 키 해지를 확인합니다. 키를 완전히 취소하는 데 최대 10분이 소요될 수 있습니다. AWS KMS 키는 로컬 해지된 상태로 전환됩니다.
|
고객 관리자가 AWS KMS 콘솔에서 키를 취소하는 경우, AWS KMS 키는 Control Hub의 Amazon에서 해지된 상태에 표시됩니다. |
1 | Control Hub에 로그인하고 . |
2 | 취소된 AWS KMS 키로 이동합니다. |
3 | 클릭삭제를 선택합니다. |
4 | 키 삭제를 확인합니다. 삭제되면 30일 이내에 키를 복구할 수 있습니다. |
AWS 콘솔에서 CMK를 삭제하기 전에 먼저 Control Hub에서 AWS KMS 키를 삭제하는 것이 좋습니다. Control Hub에서 AWS KMS 키를 삭제하기 전에 AWS 콘솔에서 CMK를 삭제하는 경우 문제가 발생할 수 있습니다. AWS 콘솔에서 CMK를 삭제하기 전에 AWS KMS 키가 Control Hub에서 더 이상 표시되지 않는지 확인하십시오. |
1 | Control Hub에 로그인하고 . |
2 | 삭제된 AWS KMS 키로 이동합니다. |
3 | 클릭삭제 취소를 선택합니다. |
4 | 키 복원을 확인합니다. 복원되면 Control Hub는 해지된 상태의 키를 표시합니다. |
AWS KMS 키에 문제가 발생하는 경우 다음 정보를 사용하여 문제를 해결합니다.
AWS KMS 키 ARN. 예:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.AWS KMS 키 상태. 예를 들어, AWS KMS 키가 비활성화됩니다.
이 예에서는 OpenSSL 명령줄 도구의 버전 3.0을 사용합니다. 참조 OpenSSL 이러한 도구에 대한 자세한 내용은 을(를) 참조하십시오.
1 | |
2 | 이동 . |
3 | 클릭 공개 키 다운로드 . 로컬 시스템의 .pem 파일에서 Webex HSM 공개 키를 가져옵니다. |
4 | 256비트(32바이트) 키 만들기: 이 예에서는 파일 이름을 사용합니다.main_key .bin 암호화되지 않은 새 키의 경우. 또는 Hex dump, Python 또는 온라인 생성기를 사용하여 32바이트 임의 값을 생성할 수도 있습니다. 또한 AWS KMS 키를 만들고 관리할 수도 있습니다. |
5 | Webex HSM 공개 키를 사용하여 새 키를 암호화합니다.
이 예에서는 파일 이름을 사용합니다.main_key_encrypted .bin 암호화된 출력 키 및 파일 이름 경로/to/public.pem Webex 공개 키의 경우. 암호화된 키를 Control Hub에 업로드할 준비가 되었습니다. |