Webex is standaard inherent veilig en we beschikken over een hoofdsleutel voor het versleutelen van alle versleutelingssleutels van uw organisatie. Als u liever de hoofdsleutel van uw organisatie beheert, kunt u dat doen met Control Hub en uw favoriete hulpprogramma's voor sleutelbeheer.
Als onderdeel van ons streven naar end-to-end-beveiliging beschikt Webex over een hoofdsleutel namens elke organisatie. We noemen dit een hoofdsleutel omdat de inhoud niet rechtstreeks wordt versleuteld, maar wordt gebruikt om de andere sleutels van uw organisatie te versleutelen waarmee de inhoud wordt versleuteld. Het basisniveau van de sleutelhiërarchie wordt de inhoudsleutel (CK) genoemd en de tussenliggende niveaus van de sleutels worden sleutelcoderingssleutels (KEK) genoemd.
We erkennen dat sommige organisaties de voorkeur geven aan het beheren van hun eigen beveiliging. Daarom bieden we u de mogelijkheid om uw eigen hoofdsleutel van de klant (CMK) te beheren. Dit betekent dat u de verantwoordelijkheid neemt voor het maken en roteren (opnieuw coderen) van de hoofdsleutel die Webex gebruikt om uw inhoudcoderingssleutels te coderen.
Vanaf nu verwijst een sleutel naar de CMK, tenzij anders aangegeven.
Hoe het werkt
Webex bewaart uw CMK in een hardwarebeveiligingsmodule (HSM), zodat de Webex services geen toegang hebben tot de CMK-waarde.
Control Hub toont uw huidige actieve of ingetrokken CMK en eventuele in behandeling zijnde CMK's die zijn opgeslagen in de HSM. Wanneer u de CMK moet roteren (opnieuw coderen), genereert u uw nieuwe CMK en codeert u deze met de openbare sleutel van de HSM, zodat alleen de HSM de CMK kan decoderen en opslaan.
Vervolgens uploadt en activeert u de nieuwe CMK in Control Hub. Webex begint onmiddellijk de nieuwe CMK te gebruiken voor het versleutelen van uw inhoudssleutels. Webex behoudt de oude CMK, maar alleen totdat zeker is dat uw inhoudscoderingssleutels zijn beveiligd door de nieuwe CMK.
 | We hercoderen niet alle bestaande inhoud met terugwerkende kracht. Nadat u uw CMK hebt geactiveerd, wordt alle nieuwe inhoud (ruimten en vergaderingen) opnieuw gecodeerd en beveiligd. |
We weten dat sommige organisaties de voorkeur geven aan het beheren van hun eigen sleutel buiten Webex. Daarom geven we u de optie om uw eigen CMK te beheren in de Amazon Web Services (AWS) Key Management Service (KMS). Dit betekent dat u verantwoordelijk bent voor het beheer van uw sleutels in de AWS KMS. U autoriseert Webex om te coderen en decoderen met uw AWS KMS-sleutel via de AWS-console. U geeft Webex uw AWS KMS-sleutel-id in plaats van uw CMK. Dit betekent dat u de verantwoordelijkheid neemt voor het maken en roteren (opnieuw coderen) van de AWS KMS-sleutel die Webex gebruikt om uw inhoudcoderingssleutels in de cloud te coderen.
Hoe het werkt
U maakt een sleutel met AWS. De AWS KMS wordt gebruikt om uw sleutel te beheren en slaat de sleutel op in een hardwarebeveiligingsmodule (HSM).
U geeft Webex toegang om de AWS KMS-sleutel te gebruiken via de AWS-console.
Dit betekent dat u in plaats van uw CMK te uploaden naar Control Hub, Webex toegang geeft tot de AWS KMS-sleutel. De AWS KMS-sleutel verlaat uw AWS KMS niet en Webex-services hebben geen toegang tot het AWS KMS-sleutelmateriaal.
Control Hub toont uw momenteel actieve of ingetrokken AWS KMS-sleutel en alle in behandeling zijnde AWS KMS-sleutel die is opgeslagen in de AWS KMS. Wanneer u de AWS KMS-sleutel moet draaien, genereert u uw nieuwe AWS KMS-sleutel met de AWS KMS-console.
Vervolgens voegt u de nieuwe AWS KMS-sleutel toe en activeert u deze in Control Hub, door deze te voorzien van de Amazon Resource Name (ARN) van de nieuwe AWS KMS-sleutel. Webex begint onmiddellijk met het gebruik van de nieuwe AWS KMS-sleutel voor het coderen van uw inhoudssleutels. Webex heeft de oude AWS KMS-sleutel niet meer nodig. De oude AWS KMS-sleutel verdwijnt uit Control Hub nadat uw inhoudcoderingssleutels zijn gedraaid en beveiligd met de nieuwe AWS KMS-sleutel. Webex verwijdert de AWS KMS-sleutel niet uit de AWS KMS. Uw klantbeheerder kan de sleutel uit de AWS KMS verwijderen.
Sleutellevenscyclus
Definities van sleutelstatus
- In behandeling
-
Een sleutel met deze status is opgeslagen in de HSM, maar wordt nog niet gebruikt voor versleuteling. Webex gebruikt deze CMK niet voor versleuteling.
Er kan slechts één sleutel deze status hebben. - Actief
-
Webex gebruikt deze CMK momenteel om andere sleutels voor uw organisatie te versleutelen.
Er kan slechts één sleutel deze status hebben. - Rotatie
-
Webex gebruikt deze CMK tijdelijk. Webex heeft deze nodig om uw gegevens en sleutels te decoderen die eerder met deze sleutel zijn versleuteld. Deze sleutel wordt gedeactiveerd wanneer de rotatie (opnieuw coderen) is voltooid.
Meerdere sleutels kunnen deze status hebben als een nieuwe sleutel wordt geactiveerd voordat de rotatie is voltooid. - Gepensioneerd
-
Webex gebruikt deze CMK niet. Deze sleutel wordt niet meer gebruikt voor codering. Er wordt een time-to-live van de sleutel ingesteld, waarna deze sleutel wordt verwijderd uit de HSM.
- Ingetrokken
-
Webex gebruikt deze CMK niet. Zelfs als er gegevens en sleutels zijn die zijn versleuteld met deze sleutel, kan Webex deze niet gebruiken om de gegevens en sleutels te ontsleutelen.
- U hoeft een actieve sleutel alleen in te trekken als u vermoedt dat deze is aangetast. Dit is een serieuze beslissing omdat hierdoor veel bewerkingen niet correct worden uitgevoerd. U kunt bijvoorbeeld geen nieuwe ruimten maken en u kunt geen inhoud ontsleutelen in de Webex -client.
- Er kan slechts één sleutel deze status hebben. U moet deze sleutel opnieuw activeren om een nieuwe sleutel te roteren (opnieuw coderen).
- Deze CMK kan worden verwijderd, maar u hoeft deze niet te verwijderen. Mogelijk wilt u het bewaren voor decodering/opnieuw coderen nadat u het vermoedelijke beveiligingslek hebt opgelost.
- Verwijderd
-
Webex gebruikt deze CMK niet. Het gedrag in deze status is hetzelfde als de status Ingetrokken, behalve dat er een time-to-live van een sleutel wordt ingesteld, waarna deze sleutel wordt verwijderd uit de HSM.
- Als een verwijderde CMK de status Verwijderd krijgt, moet u de oorspronkelijke sleutel herstellen om de functionaliteit van de organisatie te herstellen.
- We raden u aan een reservekopie van uw oorspronkelijke sleutel te bewaren, anders werkt uw organisatie niet meer.
- Verwijderd
-
Dit is een logische status. Webex heeft deze CMK niet opgeslagen in de HSM. Het wordt niet weergegeven in Control Hub.
Eigendom
Als u eigenaar wordt van uw CMK, moet u:
- Neem de verantwoordelijkheid voor het veilig maken en back-up van uw sleutels
- De gevolgen van het verliezen van uw sleutels begrijpen
- Uw actieve CMK ten minste één keer per jaar opnieuw coderen als beste praktijk
Sleutel maken
U moet uw eigen CMK maken met deze parameters. Uw sleutel moet zijn:
- 256 bits (32 bytes) lang
- Versleuteld met het RSA-OAEP-schema
- Versleuteld met de openbare sleutel van Webex Cloud HSM
Uw software voor het genereren van sleutels moet het volgende kunnen:
- SHA-256 hash-functie
- Functie voor het genereren van MGF1-masker
- PKCS#1 OAEP-opvulling
Raadpleeg Voorbeeld: Sleutels maken en coderen met OpenSSL op het tabblad Bronnen in dit artikel.
Autorisatie
U moet toegang hebben tot uw Webex -organisatie in Control Hub. U moet een zijn volledige beheerder om uw CMK te beheren.
| 1 | |
| 2 | Ga naar . Als u BYOK wilt inschakelen, schakelt u Uw eigen sleutel meenemen (BYOK) aan. Als u BYOK uitschakelt, wordt Algemene standaardsleutel van Webex wordt de belangrijkste sleutel voor uw organisatie. |
| 3 | Selecteer Upload a custom key en klik op Next. |
| 4 | Klik op Openbare sleutel downloaden . Sla de openbare Webex HSM-sleutel op in een PEM-bestand op uw lokale systeem. |
| 5 | Maak een cryptografisch veilige 256-bits (32 bytes) willekeurige sleutel met uw sleutelbeheersoftware. |
| 6 | Gebruik de openbare sleutel van Webex HSM om uw nieuwe sleutel te versleutelen. De vereiste coderingsparameters zijn:
Raadpleeg Voorbeeld: Sleutels maken en coderen met OpenSSL op het tabblad Bronnen in dit artikel.
|
| 7 | Sleep de gecodeerde sleutel uit uw bestandssysteem en zet deze neer in het uploadgebied van de Control Hub-interface of klik op Kies een bestand . |
| 8 | Klik op Volgende. Webex uploadt uw sleutel naar de HSM, waar deze wordt gedecodeerd en gevalideerd. Vervolgens toont Control Hub de Id van uw nieuwe CMK en de Id van de momenteel actieve CMK, indien van toepassing. Als dit uw eerste CMK is, is de momenteel actieve sleutel de Algemene standaardsleutel van Webex (degene die we momenteel gebruiken voor het versleutelen van de sleutels van uw organisatie). |
| 9 | Kies hoe u uw sleutel wilt activeren:
|
De volgende stappen
| We hercoderen niet alle bestaande inhoud met terugwerkende kracht. Nadat u uw CMK hebt geactiveerd, wordt alle nieuwe inhoud (ruimten en vergaderingen) opnieuw gecodeerd en beveiligd. |
| 1 | |
| 2 | Ga naar . |
| 3 | Ga naar de actieve CMK. |
| 4 | Klikken |
| 5 | Maak en codeer een nieuwe sleutel (als u dat nog niet hebt gedaan). Het proces wordt beschreven in De hoofdsleutel van uw klant maken en activeren in dit artikel.
|
| 6 | Sleep de nieuwe sleutel van uw bestandssysteem en zet deze neer in Control Hub. |
| 7 | Klik op Nieuwe sleutel activeren . De nieuwe sleutel die u hebt geüpload, krijgt de status Actief. De oude CMK blijft in rotatie (status opnieuw coderen) totdat Webex alle inhoud met de nieuwe actieve CMK heeft gecodeerd. Na het opnieuw coderen wordt de sleutel verplaatst naar de status Gedeactiveerd. Webex verwijdert vervolgens de oude CMK. |
en selecteer | 1 | |
| 2 | Ga naar . |
| 3 | Ga naar de verwijderde sleutel. |
| 4 | Klikken |
| 5 | Bevestig de belangrijkste restauratie. Zodra deze is hersteld, toont Control Hub u de sleutel in de status Ingetrokken voordat deze is verwijderd. Als u bijvoorbeeld een ingetrokken sleutel verwijdert en de sleutel vervolgens herstelt, toont Control Hub de herstelde sleutel in de status Ingetrokken.
|
Eigendom
Door uw AWS KMS-sleutel in eigendom te nemen, moet u:
- Neem de verantwoordelijkheid voor het veilig maken en back-up van uw AWS KMS sleutels.
- Begrijp de implicaties van het verliezen van uw AWS KMS sleutels.
- Versleutel uw actieve AMS KMS-sleutel ten minste eenmaal per jaar als beste praktijk.
Autorisatie
- U moet bevoegd zijn om uw sleutels in de AWS KMS voor uw Webex-organisatie te maken en te beheren.
- U moet toegang hebben tot uw Webex -organisatie in Control Hub. U moet een volledige beheerder zijn om uw AWS KMS-sleutel te beheren.
| 1 | Meld u aan bij AWS en ga naar de AWS KMS-console. |
| 2 | Selecteer Door de klant beheerde sleutels en klik vervolgens op Sleutel maken. |
| 3 | Maak de sleutel met de volgende kenmerken:
|
| 4 | Klik op Volgende. |
| 5 | Controleer uw instellingen en klik op Voltooien. Uw AWS KMS-sleutel is gemaakt.
|
| 6 | Ga naar Door de klant beheerde sleutels en klik op de alias of sleutel-id om de ARN te bekijken. |
De volgende stappen
Wij raden u aan een tijdelijke kopie van de ARN bij te houden. Deze ARN wordt gebruikt om uw AWS KMS-sleutel toe te voegen en te activeren in Control Hub.
| 1 | Meld u aan bij AWS en ga naar de AWS CloudShell-console. | ||
| 2 | Uitvoeren
|
Voordat u begint
U moet een AWS KMS-sleutel maken voordat u deze activeert in Control Hub. Raadpleeg Een AWS KMS-sleutel maken in dit artikel.
U moet Webex toegang geven tot de AWS KMS-sleutel. Raadpleeg Cisco KMS autoriseren met toegang tot de AWS KMS-sleutel in dit artikel.
| 1 | |
| 2 | Ga naar en schakel Bring Your Own Key (BYOK) in. Als u BYOK uitschakelt, wordt Algemene standaardsleutel van Webex wordt de belangrijkste sleutel voor uw organisatie. |
| 3 | Selecteer AWS KMS-toets toevoegen en klik op Volgende. |
| 4 | Haal de ARN van de AWS-console. |
| 5 | Voer de ARN in Control Hub in en klik op Toevoegen. Uw sleutel-ARN wordt geüpload naar de Cisco KMS, waar toegang tot de sleutel wordt gevalideerd. Vervolgens toont Control Hub de Cisco KMS-sleutel-id van uw nieuwe AWS KMS-sleutel en de momenteel actieve Cisco KMS-sleutel-id, indien van toepassing. Als dit uw eerste AWS KMS-sleutel is, is de momenteel actieve sleutel de algemene standaardsleutel van Webex (de sleutel die we momenteel gebruiken voor het coderen van de sleutels van uw organisatie). |
| 6 | Kies hoe u uw sleutel wilt activeren:
|
| 1 | Meld u aan bij Control Hub en ga naar . |
| 2 | Ga naar de actieve AWS KMS-toets. |
| 3 | Klikken |
| 4 | Voer uw nieuwe AWS KMS-sleutel en nieuwe ARN in en klik op Toevoegen. Het proces wordt beschreven in Uw AMS KMS-sleutel toevoegen en activeren in dit artikel.
|
| 5 | Klik op Activeren. De nieuwe AWS KMS-sleutel die u hebt geüpload, gaat naar de actieve status. De oude AWS KMS-sleutel blijft in de status Roteren totdat Webex alle inhoud heeft gecodeerd met de nieuwe actieve AWS KMS-sleutel. Na het opnieuw coderen verdwijnt de oude AWS KMS-sleutel automatisch uit Control Hub. |
| 1 | Meld u aan bij Control Hub en ga naar . |
| 2 | Klik op Nog een sleutel toevoegen. |
| 3 | Voer uw nieuwe AWS KMS-toets in en klik op Toevoegen. Control Hub toont de Cisco KMS-sleutel-id van uw nieuwe AWS KMS-sleutel en de id van de momenteel actieve Cisco KMS-sleutel-id. Het proces wordt beschreven in Uw AMS KMS-sleutel toevoegen en activeren in dit artikel. |
| 4 | Klik op Activeren. De nieuwe AWS KMS-sleutel die u hebt geüpload, gaat naar de actieve status. De oude AWS KMS-sleutel blijft in de status Roteren totdat Webex alle inhoud heeft gecodeerd met de nieuwe actieve AWS KMS-sleutel. Na het opnieuw coderen verdwijnt de oude AWS KMS-sleutel automatisch uit Control Hub. |
| 1 | Meld u aan bij Control Hub en ga naar . |
| 2 | Ga naar de momenteel actieve AWS KMS-sleutel. |
| 3 | Klikken |
| 4 | Bevestig de belangrijkste herroeping. Het kan maximaal 10 minuten duren om uw sleutel volledig in te trekken. De AWS KMS-sleutel gaat naar de status Lokaal ingetrokken.
|
| Als uw klantbeheerder de sleutel van de AWS KMS-console intrekt, wordt de AWS KMS-sleutel weergegeven in de status Ingetrokken door Amazon in Control Hub. |
| 1 | Meld u aan bij Control Hub en ga naar . |
| 2 | Ga naar de ingetrokken AWS KMS-sleutel. |
| 3 | Klikken |
| 4 | Bevestig het verwijderen van de sleutel. Eenmaal verwijderd, kunt u de sleutel binnen 30 dagen herstellen. |
 | We raden u aan eerst de AWS KMS-sleutel uit Control Hub te verwijderen voordat u uw CMK uit de AWS-console verwijdert. Als u uw CMK uit de AWS-console verwijdert voordat u de AWS KMS-sleutel in Control Hub verwijdert, kunt u problemen ondervinden. Zorg ervoor dat de AWS KMS-sleutel niet meer zichtbaar is in Control Hub voordat u uw CMK verwijdert uit de AWS-console. |
| 1 | Meld u aan bij Control Hub en ga naar . |
| 2 | Ga naar de verwijderde AWS KMS-sleutel. |
| 3 | Klikken |
| 4 | Bevestig de belangrijkste restauratie. Zodra deze is hersteld, toont Control Hub u de sleutel in de status Ingetrokken. |
Als u problemen ondervindt met uw AWS KMS-sleutel, gebruikt u de volgende informatie om het probleem op te lossen.
AWS KMS-toets ARN. Bijvoorbeeld:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.AWS KMS-sleutelstatus. De AWS KMS-sleutel is bijvoorbeeld uitgeschakeld.
In dit voorbeeld wordt versie 3.0 van de OpenSSL-opdrachtregelprogramma's gebruikt. Zie OpenSSL voor meer informatie over deze hulpprogramma's.
| 1 | |
| 2 | Ga naar . |
| 3 | Klik op Openbare sleutel downloaden . U krijgt de openbare sleutel van de Webex HSM in een PEM-bestand op uw lokale systeem. |
| 4 | Maak een 256-bits (32 bytes) sleutel: In het voorbeeld wordt de bestandsnaammain_key .bin voor uw niet-versleutelde nieuwe sleutel. U kunt ook een willekeurige waarde van 32 bytes genereren met behulp van Hex-dump, Python of online generatoren. U kunt ook uw AWS KMS-sleutel maken en beheren. |
| 5 | Gebruik de openbare sleutel van Webex HSM om uw nieuwe sleutel te versleutelen:
In het voorbeeld wordt de bestandsnaammain_key_encrypted .bin voor de gecodeerde uitvoersleutel en de bestandsnaam pad/naar/public.pem voor de openbare Webex sleutel. De versleutelde sleutel is klaar om te uploaden naar Control Hub. |
