자신의 고객 기본 키 관리
엔드 투 엔드 보안에 대한 Webex의 노력의 일환으로, Webex는 각 조직을 대신하여 기본 키를 보유하고 있습니다. 이는 콘텐츠를 직접 암호화하지 않지만, 콘텐츠를 암호화하는 조직의 다른 키를 암호화하기 위해 사용되기 때문에 기본 키라고 합니다. 키 계층 구조의 기본 수준을 CK(콘텐츠 키)라고 하며 키의 중간 수준은 KEK(키 암호화 키)라고 합니다.
일부 조직은 자신의 보안을 관리하는 것을 선호하기 때문에 자신의 고객 기본 키(CMK)를 관리할 수 있는 옵션을 제공합니다. 이는 콘텐츠 암호화 키를 암호화하기 위해 Webex가 사용하는 기본 키를 만들고 회전(다시 암호화)하는 책임이 있음을 의미합니다.
앞으로 키는 별도로 지정하지 않는 한 CMK를 참조합니다.
작동 방식
-
Webex는 CMK를 하드웨어 보안 모듈(HSM)에 보관하므로 Webex 서비스는 CMK 값에 액세스할 수 없습니다.
-
Control Hub는 현재 활동 중이거나 취소된 CMK 및 HSM에 저장된 보류 중인 CMK를 표시합니다. CMK를 회전(다시 암호화)해야 할 때 새로운 CMK를 생성하고 HSM만 해독하고 저장할 수 있도록 HSM의 공개 키로 암호화합니다.
-
그 후 Control Hub에서 새로운 CMK를 업로드하고 활성화합니다. Webex는 콘텐츠 키를 암호화하기 위해 즉시 새로운 CMK를 사용하기 시작합니다. Webex는 이전 CMK를 유지합니다. 단, 콘텐츠 암호화 키가 새로운 CMK에 의해 보호되는지 확인할 때까지.
일부 조직은 Webex 외부에서 자신의 키를 관리하는 것을 선호합니다. 따라서 Amazon Web Services(AWS) KMS(Key Management Service)에서 자체 CMK를 관리할 수 있는 옵션을 제공합니다. 이는 AWS KMS에서 키를 관리할 책임이 있음을 의미합니다. 귀하는 Webex가 AWS 콘솔을 통해 AWS KMS 키를 사용하여 암호화하고 해독할 수 있게 인증합니다. CMK 대신 AWS KMS 키 ID를 Webex에 제공합니다. 이는 Webex가 클라우드에서 콘텐츠 암호화 키를 암호화하기 위해 사용하는 AWS KMS 키를 만들고 회전(다시 암호화)하는 책임이 있음을 의미합니다.
작동 방식
-
AWS로 키를 만듭니다. AWS KMS는 키를 관리하고 HSM(하드웨어 보안 모듈)에 키를 저장하는 데 사용됩니다.
-
AWS 콘솔을 통해 AWS KMS 키를 사용할 수 있는 액세스를 Webex에 제공합니다.
즉, CMK를 Control Hub에 업로드하는 대신 Webex에 AWS KMS 키에 대한 액세스를 제공합니다. AWS KMS 키는 AWS KMS를 떠나지 않으며, Webex 서비스는 AWS KMS 키 자료에 액세스할 수 없습니다.
Control Hub는 현재 활동 중이거나 해지된 AWS KMS 키 및 AWS KMS에 저장된 보류 중인 AWS KMS 키를 표시합니다. AWS KMS 키를 회전해야 할 때 AWS KMS 콘솔을 사용하여 새 AWS KMS 키를 생성합니다.
-
그 후 Control Hub에서 새로운 AWS KMS 키를 추가하고 활성화하여 새 AWS KMS 키의 ARN(Amazon Resource Name)을 제공합니다. Webex는 콘텐츠 키를 암호화하기 위해 새로운 AWS KMS 키를 즉시 사용하기 시작합니다. Webex는 더 이상 이전 AWS KMS 키를 요구하지 않습니다. 콘텐츠 암호화 키가 새로운 AWS KMS 키로 회전하고 보호되면 이전의 AWS KMS 키가 Control Hub에서 사라집니다. Webex는 AWS KMS에서 AWS KMS 키를 삭제하지 않습니다. 고객 관리자는 AWS KMS에서 키를 제거할 수 있습니다.
키 수명 주기
키 상태 정의
- 보류 중
-
이 상태의 키는 HSM에 저장되지만 아직 암호화에 사용되지 않습니다. Webex는 암호화에 대해 이 CMK를 사용하지 않습니다.
이 상태에 있는 키는 한 개만 있을 수 있습니다. - 활동 중
-
Webex는 현재 이 CMK를 사용하여 조직에 대한 다른 키를 암호화하고 있습니다.
이 상태에 있는 키는 한 개만 있을 수 있습니다. - 회전
-
Webex는 일시적으로 이 CMK를 사용하고 있습니다. Webex는 이전에 이 키로 암호화된 데이터 및 키를 해독해야 합니다. 회전(재암호화)이 완료되면 이 키는 지원되지 않습니다.
회전이 완료되기 전에 새 키가 활성화된 경우 여러 키가 이 상태에 있을 수 있습니다. - 종료됨
-
Webex는 이 CMK를 사용하지 않습니다. 이 키는 더 이상 암호화에 사용되지 않습니다. 키 실시간 시간이 설정된 후 이 키는 HSM에서 제거됩니다.
- 철회됨
-
Webex는 이 CMK를 사용하지 않습니다. 이 키로 암호화된 데이터 및 키가 있는 경우에도 Webex는 이를 사용하여 데이터 및 키를 해독할 수 없습니다.
- 활성화된 키가 손상되었다고 의심되는 경우에만 취소해야 합니다. 이는 많은 작업이 올바르게 작동하지 않게 하기 때문에 심각한 결정입니다. 예를 들어, 새로운 스페이스를 만들 수 없으며, Webex 클라이언트에서 콘텐츠를 해독할 수 없게 됩니다.
- 이 상태에 있는 키는 한 개만 있을 수 있습니다. 새 키를 회전하려면 이 키를 다시 활성화해야 합니다(다시 암호화).
- 이 CMK는 삭제할 수 있지만 삭제할 필요가 없습니다. 의심되는 보안 위반을 해결한 후에 암호 해독/재암호화를 위해 보관할 수도 있습니다.
- 삭제됨
-
Webex는 이 CMK를 사용하지 않습니다. 이 상태의 동작은 취소됨 상태와 동일합니다. 단, 키 TTL이 설정된 후에 이 키가 HSM에서 제거됩니다.
- 삭제된 CMK가 제거됨 상태로 진행되는 경우, 원래 키를 복구하여 조직에 기능을 복원해야 합니다.
- 원래 키의 백업 사본을 보관할 것을 권장합니다. 그렇지 않으면 조직은 더 이상 작동하지 않게 됩니다.
- 제거됨
-
이는 논리적 상태입니다. Webex에는 HSM에 이 CMK가 저장되지 않습니다. 이는 Control Hub에 표시되지 않습니다.
소유권
CMK의 소유권을 가지고 있으면 다음을 수행해야 합니다.
- 키의 보안 생성 및 백업에 대한 책임
- 키를 잃어버리는 것의 의미를 이해합니다.
- 모범 사례로 적어도 1년에 한 번 활성 CMK를 다시 암호화합니다.
키 만들기
이러한 매개 변수를 사용하여 자체 CMK를 만들어야 합니다. 키는 다음과 같아야 합니다.
- 256비트(32바이트) 길이
- RSA-OAEP 체계로 암호화됨
- Webex 클라우드 HSM 공개 키로 암호화됨
키 생성 소프트웨어는 다음 작업을 수행할 수 있어야 합니다.
- SHA-256 해시 함수
- MGF1 마스크 생성 기능
- PKCS#1 OAEP 패딩
참조: 예: 이 문서의 리소스 탭에서 OpenSSL로 키를 만들고 암호화 합니다.
인증
Control Hub에서 Webex 조직에 액세스할 수 있어야 합니다. CMK를 관리하려면 전체 관리자 이어야 합니다.
1 | |
2 |
로 이동합니다. BYOK를 활성화하려면 자신의 키 가져오기(BYOK) 토글을 켭니다. BYOK를 비활성화하는 경우, Webex 공통 기본 키 가 조직의 기본 키가 됩니다. |
3 |
사용자 정의 키 업로드 를 선택하고 다음을 클릭합니다. |
4 |
공개 키 다운로드를 클릭합니다. 로컬 시스템의 .pem 파일에 Webex HSM 공개 키를 저장합니다. |
5 |
키 관리 소프트웨어를 사용하여 암호로 안전한 256비트(32바이트) 랜덤 키를 만듭니다. |
6 |
Webex HSM 공개 키를 사용하여 새로운 키를 암호화합니다. 필수 암호화 매개 변수는 다음과 같습니다.
참조: 예: 이 문서의 리소스 탭에서 OpenSSL로 키를 만들고 암호화 합니다.
|
7 |
파일 시스템에서 암호화된 키를 드래그하고 Control Hub 인터페이스의 업로드 영역에 드롭하거나, 파일 선택을 클릭합니다. |
8 |
다음을 클릭합니다. Webex는 HSM에 키를 업로드하며, 여기에서 해독되고 유효성이 검증됩니다. 그 후 Control Hub는 새로운 CMK의 ID 및 현재 활동 중인 CMK의 ID를 표시합니다(해당하는 경우). 이것이 첫 번째 CMK인 경우, 현재 활동 중인 키는 Webex 공통 기본 키 (현재 조직의 키를 암호화하기 위해 사용하는 키)입니다. |
9 |
키를 활성화하고자 하는 방법을 선택합니다.
|
다음에 수행할 작업
1 | |
2 |
로 이동합니다. |
3 |
활성 CMK로 이동합니다. |
4 |
을(를) 클릭하고 회전을 선택합니다. |
5 |
새 키를 만들고 암호화합니다(아직 실행하지 않은 경우). 해당 프로세스는 이 문서에서 고객 기본 키 만들기 및 활성화 에 설명되어 있습니다.
|
6 |
파일 시스템에서 새로운 키를 드래그하고 Control Hub에 드롭합니다. |
7 |
새 키 활성화를 클릭합니다. 업로드한 새로운 키가 활동 중 상태로 지정됩니다. 이전 CMK는 Webex가 새로운 Active CMK로 모든 콘텐츠를 암호화하는 작업을 마칠 때까지 회전(재암호화 상태)으로 유지됩니다. 다시 암호화된 후 키는 지원되지 않는 상태로 이동합니다. 그 후 Webex는 이전 CMK를 삭제합니다. |
소유권
AWS KMS 키의 소유권을 확보하면 다음 작업을 실행해야 합니다.
- AWS KMS 키를 안전하게 만들고 백업할 책임이 있습니다.
- AWS KMS 키를 잃게 될 때 미치는 영향을 이해하십시오.
- 모범 사례로 최소한 1년에 한 번 활동 중인 AMS KMS 키를 다시 암호화합니다.
인증
- Webex 조직에 대해 AWS KMS에서 키를 만들고 관리하려면 권한이 있어야 합니다.
- Control Hub에서 Webex 조직에 액세스할 수 있어야 합니다. AWS KMS 키를 관리하려면 전체 관리자 이어야 합니다.
1 |
AWS 에 로그인하고 AWS KMS 콘솔로 이동합니다. |
2 |
고객 관리 키 를 선택한 후 키 만들기를 클릭합니다. |
3 |
다음 속성으로 키를 만듭니다.
|
4 |
다음을 클릭합니다. |
5 |
설정을 확인하고 마침을 클릭합니다. AWS KMS 키가 생성됩니다.
|
6 |
고객 관리 키 로 이동하고 별칭 또는 키 ID를 클릭하여 ARN을 확인합니다. |
다음에 수행할 작업
ARN의 임시 사본을 보관하는 것이 좋습니다. 이 ARN은 Control Hub에서 AWS KMS 키를 추가하고 활성화하기 위해 사용됩니다.
1 |
AWS 에 로그인하고 AWS CloudShell 콘솔로 이동합니다. |
2 |
예: KMS_CISCO_사용자_ARN 은 조직에 국한됩니다. Control Hub에서 새로운 AWK KMS 키를 활성화할 때 ARN이 AWS 키 추가 창에 표시됩니다. |
시작하기 전에
Control Hub에서 활성화하기 전에 AWS KMS 키를 만들어야 합니다. 이 문서에서 AWS KMS 키 만들기 를 참조하십시오.
Webex에 AWS KMS 키에 대한 액세스를 제공해야 합니다. 이 문서에서 AWS KMS 키에 액세스하여 Cisco KMS 인증 을 참조하십시오.
1 | |
2 |
자신의 키 가져오기(BYOK) 를 켭니다. 로 이동하고BYOK를 비활성화하는 경우, Webex 공통 기본 키 가 조직의 기본 키가 됩니다. |
3 |
AWS KMS 키 추가 를 선택하고 다음을 클릭합니다. |
4 |
AWS 콘솔에서 ARN을 가져옵니다. |
5 |
Control Hub에 ARN을 입력하고 추가를 클릭합니다. 키 ARN은 Cisco KMS로 업로드되며, 여기에서 키에 대한 액세스의 유효성이 검증됩니다. 그 후 Control Hub는 새로운 AWS KMS 키의 Cisco KMS 키 ID 및 현재 활동 중인 Cisco KMS 키 ID를 표시합니다(해당하는 경우). 이것이 첫 번째 AWS KMS 키인 경우, 현재 활동 중인 키는 Webex 공통 기본 키 (현재 조직의 키를 암호화하기 위해 사용하는 키)입니다. |
6 |
키를 활성화하고자 하는 방법을 선택합니다.
|
1 |
Control Hub에 로그인하고 로 이동합니다. |
2 |
활성 AWS KMS 키로 이동합니다. |
3 |
을(를) 클릭하고 회전을 선택합니다. |
4 |
새로운 AWS KMS 키 및 새로운 ARN을 입력하고 추가를 클릭합니다. 해당 프로세스는 이 문서에서 AMS KMS 키 추가 및 활성화 에 설명되어 있습니다.
|
5 |
활성화를 클릭합니다. 업로드한 새로운 AWS KMS 키가 활동 중으로 지정됩니다. 이전 AWS KMS 키는 Webex가 새로운 Active AWS KMS 키로 모든 콘텐츠를 암호화하는 작업을 완료할 때까지 회전 상태로 유지됩니다. 다시 암호화된 후 이전 AWS KMS 키는 Control Hub에서 자동으로 사라집니다. |
1 |
Control Hub에 로그인하고 로 이동합니다. |
2 |
다른 키 추가를 클릭합니다. |
3 |
새로운 AWS KMS 키를 입력하고 추가를 클릭합니다. Control Hub는 새로운 AWS KMS 키의 Cisco KMS 키 ID 및 현재 활동 중인 Cisco KMS 키 ID를 표시합니다. 해당 프로세스는 이 문서에서 AMS KMS 키 추가 및 활성화 에 설명되어 있습니다. |
4 |
활성화를 클릭합니다. 업로드한 새로운 AWS KMS 키가 활동 중으로 지정됩니다. 이전 AWS KMS 키는 Webex가 새로운 Active AWS KMS 키로 모든 콘텐츠를 암호화하는 작업을 완료할 때까지 회전 상태로 유지됩니다. 다시 암호화된 후 이전 AWS KMS 키는 Control Hub에서 자동으로 사라집니다. |
1 |
Control Hub에 로그인하고 로 이동합니다. |
2 |
현재 활동 중인 AWS KMS 키로 이동합니다. |
3 |
을(를) 클릭하고 로컬로 취소를 선택합니다. |
4 |
키 해지를 확인합니다. 키를 완전히 해지할 때까지 최대 10분이 소요될 수 있습니다. AWS KMS 키가 로컬로 해지된 상태로 지정됩니다.
|
고객 관리자가 AWS KMS 콘솔에서 키를 해지하는 경우, AWS KMS 키는 Control Hub의 Amazon에서 해지함 상태에 표시됩니다.
1 |
Control Hub에 로그인하고 로 이동합니다. |
2 |
해지된 AWS KMS 키로 이동합니다. |
3 |
을(를) 클릭하고 삭제를 선택합니다. |
4 |
키 삭제를 확인합니다. 삭제되면 30일 이내에 키를 복구할 수 있습니다. |
AWS 콘솔에서 CMK를 삭제하기 전에 먼저 Control Hub에서 AWS KMS 키를 삭제할 것을 권장합니다. Control Hub에서 AWS KMS 키를 삭제하기 전에 AWS 콘솔에서 CMK를 삭제하는 경우, 문제가 발생할 수 있습니다.
AWS 콘솔에서 CMK를 삭제하기 전에 AWS KMS 키가 더 이상 Control Hub에 표시되지 않는지 확인하십시오.
1 |
Control Hub에 로그인하고 로 이동합니다. |
2 |
삭제된 AWS KMS 키로 이동합니다. |
3 |
을(를) 클릭하고 삭제 해제를 선택합니다. |
4 |
키 복원을 확인합니다. 복원되면 Control Hub는 취소됨 상태의 키를 표시합니다. |
AWS KMS 키와 관련된 문제가 발생하는 경우, 다음 정보를 사용하여 문제를 해결하십시오.
-
AWS KMS 키 ARN. 예:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
. -
AWS KMS 키에 기부합니다.
-
AWS KMS 키 상태입니다. 예를 들어, AWS KMS 키가 비활성화됩니다.
이 예제에서는 OpenSSL 명령줄 도구의 버전 3.0을 사용합니다. 해당 도구에 대한 자세한 내용은 OpenSSL 을 참조하십시오.
1 | |
2 |
로 이동합니다. |
3 |
공개 키 다운로드를 클릭합니다. 로컬 시스템의 .pem 파일에 Webex HSM 공개 키를 가져옵니다. |
4 |
256비트(32바이트) 키를 만듭니다. 이 예제는 암호화되지 않은 새 키에 대해 파일 이름 main_key.bin 을 사용합니다. 또는 16진수 덤프, 파이썬 또는 온라인 생성기를 사용하여 32바이트 임의 값을 생성할 수도 있습니다. AWS KMS 키를 만들고 관리할 수도 있습니다. |
5 |
Webex HSM 공개 키를 사용하여 새로운 키를 암호화합니다. 이 예제는 암호화된 출력 키에 대해 파일 이름 main_key_encrypted.bin , Webex 공개 키에 대해 파일 이름 path/to/public.pem 을 사용합니다. 암호화된 키를 Control Hub에 업로드할 준비가 되었습니다. |