Uw eigen hoofdsleutel voor de klant beheren

Over de hoofdsleutels van de klant

Als onderdeel van ons streven naar end-to-end-beveiliging beschikt Webex over een hoofdsleutel namens elke organisatie. We noemen dit een hoofdsleutel omdat de inhoud niet rechtstreeks wordt versleuteld, maar wordt gebruikt om de andere sleutels van uw organisatie te versleutelen waarmee de inhoud wordt versleuteld. Het basisniveau van de sleutelhiërarchie wordt de inhoudsleutel (CK) genoemd en de tussenliggende niveaus van de sleutels worden sleutelcoderingssleutels (KEK) genoemd.

We erkennen dat sommige organisaties de voorkeur geven aan het beheren van hun eigen beveiliging. Daarom bieden we u de mogelijkheid om uw eigen hoofdsleutel van de klant (CMK) te beheren. Dit betekent dat u de verantwoordelijkheid neemt voor het maken en roteren (opnieuw coderen) van de hoofdsleutel die Webex gebruikt om uw inhoudcoderingssleutels te coderen.

Vanaf nu verwijst een sleutel naar de CMK, tenzij anders aangegeven.

Hoe het werkt

Webex bewaart uw CMK in een hardwarebeveiligingsmodule (HSM), zodat de Webex services geen toegang hebben tot de CMK-waarde.
Control Hub toont uw huidige actieve of ingetrokken CMK en eventuele in behandeling zijnde CMK's die zijn opgeslagen in de HSM. Wanneer u de CMK moet roteren (opnieuw coderen), genereert u uw nieuwe CMK en codeert u deze met de openbare sleutel van de HSM, zodat alleen de HSM de CMK kan decoderen en opslaan.
Vervolgens uploadt en activeert u de nieuwe CMK in Control Hub. Webex begint onmiddellijk de nieuwe CMK te gebruiken voor het versleutelen van uw inhoudssleutels. Webex behoudt de oude CMK, maar alleen totdat zeker is dat uw inhoudscoderingssleutels zijn beveiligd door de nieuwe CMK.

We hercoderen niet alle bestaande inhoud met terugwerkende kracht. Nadat u uw CMK hebt geactiveerd, wordt alle nieuwe inhoud (ruimten en vergaderingen) opnieuw gecodeerd en beveiligd.

Over AWS KMS sleutels

We weten dat sommige organisaties de voorkeur geven aan het beheren van hun eigen sleutel buiten Webex. Daarom geven we u de optie om uw eigen CMK te beheren in de Amazon Web Services (AWS) Key Management Service (KMS). Dit betekent dat u verantwoordelijk bent voor het beheer van uw sleutels in de AWS KMS. U autoriseert Webex om te coderen en decoderen met uw AWS KMS-sleutel via de AWS-console. U geeft Webex uw AWS KMS-sleutel-id in plaats van uw CMK. Dit betekent dat u de verantwoordelijkheid neemt voor het maken en roteren (opnieuw coderen) van de AWS KMS-sleutel die Webex gebruikt om uw inhoudcoderingssleutels in de cloud te coderen.

Hoe het werkt

U maakt een sleutel met AWS. De AWS KMS wordt gebruikt om uw sleutel te beheren en slaat de sleutel op in een hardwarebeveiligingsmodule (HSM).
U geeft Webex toegang om de AWS KMS-sleutel te gebruiken via de AWS-console.

Dit betekent dat u in plaats van uw CMK te uploaden naar Control Hub, Webex toegang geeft tot de AWS KMS-sleutel. De AWS KMS-sleutel verlaat uw AWS KMS niet en Webex-services hebben geen toegang tot het AWS KMS-sleutelmateriaal.

Control Hub toont uw momenteel actieve of ingetrokken AWS KMS-sleutel en alle in behandeling zijnde AWS KMS-sleutel die is opgeslagen in de AWS KMS. Wanneer u de AWS KMS-sleutel moet draaien, genereert u uw nieuwe AWS KMS-sleutel met de AWS KMS-console.
Vervolgens voegt u de nieuwe AWS KMS-sleutel toe en activeert u deze in Control Hub, door deze te voorzien van de Amazon Resource Name (ARN) van de nieuwe AWS KMS-sleutel. Webex begint onmiddellijk met het gebruik van de nieuwe AWS KMS-sleutel voor het coderen van uw inhoudssleutels. Webex heeft de oude AWS KMS-sleutel niet meer nodig. De oude AWS KMS-sleutel verdwijnt uit Control Hub nadat uw inhoudcoderingssleutels zijn gedraaid en beveiligd met de nieuwe AWS KMS-sleutel. Webex verwijdert de AWS KMS-sleutel niet uit de AWS KMS. Uw klantbeheerder kan de sleutel uit de AWS KMS verwijderen.

Belangrijkste statussen en levenscyclus

Sleutellevenscyclus

Definities van sleutelstatus

In behandeling

Een sleutel met deze status is opgeslagen in de HSM, maar wordt nog niet gebruikt voor versleuteling. Webex gebruikt deze CMK niet voor versleuteling.

Er kan slechts één sleutel deze status hebben.

Actief

Webex gebruikt deze CMK momenteel om andere sleutels voor uw organisatie te versleutelen.

Er kan slechts één sleutel deze status hebben.

Rotatie

Webex gebruikt deze CMK tijdelijk. Webex heeft deze nodig om uw gegevens en sleutels te decoderen die eerder met deze sleutel zijn versleuteld. Deze sleutel wordt gedeactiveerd wanneer de rotatie (opnieuw coderen) is voltooid.

Meerdere sleutels kunnen deze status hebben als een nieuwe sleutel wordt geactiveerd voordat de rotatie is voltooid.

Gepensioneerd

Webex gebruikt deze CMK niet. Deze sleutel wordt niet meer gebruikt voor codering. Er wordt een time-to-live van de sleutel ingesteld, waarna deze sleutel wordt verwijderd uit de HSM.

Ingetrokken

Webex gebruikt deze CMK niet. Zelfs als er gegevens en sleutels zijn die zijn versleuteld met deze sleutel, kan Webex deze niet gebruiken om de gegevens en sleutels te ontsleutelen.

U hoeft een actieve sleutel alleen in te trekken als u vermoedt dat deze is aangetast. Dit is een serieuze beslissing omdat hierdoor veel bewerkingen niet correct worden uitgevoerd. U kunt bijvoorbeeld geen nieuwe ruimten maken en u kunt geen inhoud ontsleutelen in de Webex -client.
Er kan slechts één sleutel deze status hebben. U moet deze sleutel opnieuw activeren om een nieuwe sleutel te roteren (opnieuw coderen).
Deze CMK kan worden verwijderd, maar u hoeft deze niet te verwijderen. Mogelijk wilt u het bewaren voor decodering/opnieuw coderen nadat u het vermoedelijke beveiligingslek hebt opgelost.

Verwijderd

Webex gebruikt deze CMK niet. Het gedrag in deze status is hetzelfde als de status Ingetrokken, behalve dat er een time-to-live van een sleutel wordt ingesteld, waarna deze sleutel wordt verwijderd uit de HSM.

Als een verwijderde CMK de status Verwijderd krijgt, moet u de oorspronkelijke sleutel herstellen om de functionaliteit van de organisatie te herstellen.

We raden u aan een reservekopie van uw oorspronkelijke sleutel te bewaren, anders werkt uw organisatie niet meer.

Verwijderd

Dit is een logische status. Webex heeft deze CMK niet opgeslagen in de HSM. Het wordt niet weergegeven in Control Hub.

Vereisten

Eigendom

Als u eigenaar wordt van uw CMK, moet u:

Neem de verantwoordelijkheid voor het veilig maken en back-up van uw sleutels
De gevolgen van het verliezen van uw sleutels begrijpen
Uw actieve CMK ten minste één keer per jaar opnieuw coderen als beste praktijk

Sleutel maken

U moet uw eigen CMK maken met deze parameters. Uw sleutel moet zijn:

256 bits (32 bytes) lang
Versleuteld met het RSA-OAEP-schema
Versleuteld met de openbare sleutel van Webex Cloud HSM

Uw software voor het genereren van sleutels moet het volgende kunnen:

SHA-256 hash-functie
Functie voor het genereren van MGF1-masker
PKCS#1 OAEP-opvulling

Raadpleeg Voorbeeld: Sleutels maken en coderen met OpenSSL op het tabblad Bronnen in dit artikel.

Autorisatie

U moet toegang hebben tot uw Webex -organisatie in Control Hub. U moet een zijn volledige beheerder om uw CMK te beheren.

De hoofdsleutel van uw klant maken en activeren

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer . Als u BYOK wilt inschakelen, schakelt u Uw eigen sleutel meenemen (BYOK) aan. Als u BYOK uitschakelt, wordt Algemene standaardsleutel van Webex wordt de belangrijkste sleutel voor uw organisatie.
3	Selecteer Upload a custom key en klik op Next.
4	Klik op Openbare sleutel downloaden . Sla de openbare Webex HSM-sleutel op in een PEM-bestand op uw lokale systeem.
5	Maak een cryptografisch veilige 256-bits (32 bytes) willekeurige sleutel met uw sleutelbeheersoftware.
6	Gebruik de openbare sleutel van Webex HSM om uw nieuwe sleutel te versleutelen. De vereiste coderingsparameters zijn: RSA-OAEP-schema SHA-256 hash-functie Functie voor het genereren van MGF1-masker PKCS#1 OAEP-opvulling Raadpleeg Voorbeeld: Sleutels maken en coderen met OpenSSL op het tabblad Bronnen in dit artikel.
7	Sleep de gecodeerde sleutel uit uw bestandssysteem en zet deze neer in het uploadgebied van de Control Hub-interface of klik op Kies een bestand .
8	Klik op Volgende. Webex uploadt uw sleutel naar de HSM, waar deze wordt gedecodeerd en gevalideerd. Vervolgens toont Control Hub de Id van uw nieuwe CMK en de Id van de momenteel actieve CMK, indien van toepassing. Als dit uw eerste CMK is, is de momenteel actieve sleutel de Algemene standaardsleutel van Webex (degene die we momenteel gebruiken voor het versleutelen van de sleutels van uw organisatie).
9	Kies hoe u uw sleutel wilt activeren: Nieuwe sleutel activeren : De nieuwe CMK krijgt onmiddellijk de status Actief. De eerder actieve CMK wordt geroteerd (status voor opnieuw coderen) totdat al uw inhoud wordt beschermd door de nieuwe CMK, waarna Webex de eerder actieve CMK verwijdert. Later activeren : De nieuwe CMK krijgt de status In behandeling. Webex bewaart deze CMK in de HSM, maar gebruikt deze nog niet. Webex blijft de huidige actieve CMK gebruiken voor het versleutelen van de sleutels van uw organisatie.

De volgende stappen

We hercoderen niet alle bestaande inhoud met terugwerkende kracht. Nadat u uw CMK hebt geactiveerd, wordt alle nieuwe inhoud (ruimten en vergaderingen) opnieuw gecodeerd en beveiligd.

Uw sleutel draaien

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer .
3	Ga naar de actieve CMK.
4	Klik op en selecteer Roteren.
5	Maak en codeer een nieuwe sleutel (als u dat nog niet hebt gedaan). Het proces wordt beschreven in De hoofdsleutel van uw klant maken en activeren in dit artikel.
6	Sleep de nieuwe sleutel van uw bestandssysteem en zet deze neer in Control Hub.
7	Klik op Nieuwe sleutel activeren . De nieuwe sleutel die u hebt geüpload, krijgt de status Actief. De oude CMK blijft in rotatie (status opnieuw coderen) totdat Webex alle inhoud met de nieuwe actieve CMK heeft gecodeerd. Na het opnieuw coderen wordt de sleutel verplaatst naar de status Gedeactiveerd. Webex verwijdert vervolgens de oude CMK.

Uw sleutel intrekken

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer .
3	Ga naar de actieve toets.
4	Klik op en selecteer Intrekken.
5	Bevestig de belangrijkste herroeping. Het kan maximaal 10 minuten duren om uw sleutel volledig in te trekken.

Uw ingetrokken sleutel opnieuw activeren

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer .
3	Ga naar de momenteel ingetrokken sleutel.
4	Klik op en selecteer Activeren.
5	Bevestig de sleutelactivering. De eerder ingetrokken sleutel krijgt de status Actief.

Uw ingetrokken sleutel verwijderen

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer .
3	Ga naar de ingetrokken sleutel.
4	Klik op en selecteer Delete.
5	Bevestig het verwijderen van de sleutel. Eenmaal verwijderd, hebt u de optie om de sleutel binnen 30 dagen te herstellen.

Uw ingetrokken sleutel herstellen

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer .
3	Ga naar de verwijderde sleutel.
4	Klik op en selecteer Undelete.
5	Bevestig de belangrijkste restauratie. Zodra deze is hersteld, toont Control Hub u de sleutel in de status Ingetrokken voordat deze is verwijderd. Als u bijvoorbeeld een ingetrokken sleutel verwijdert en de sleutel vervolgens herstelt, toont Control Hub de herstelde sleutel in de status Ingetrokken.

Vereisten

Eigendom

Door uw AWS KMS-sleutel in eigendom te nemen, moet u:

Neem de verantwoordelijkheid voor het veilig maken en back-up van uw AWS KMS sleutels.
Begrijp de implicaties van het verliezen van uw AWS KMS sleutels.
Versleutel uw actieve AMS KMS-sleutel ten minste eenmaal per jaar als beste praktijk.

Autorisatie

U moet bevoegd zijn om uw sleutels in de AWS KMS voor uw Webex-organisatie te maken en te beheren.
U moet toegang hebben tot uw Webex -organisatie in Control Hub. U moet een volledige beheerder zijn om uw AWS KMS-sleutel te beheren.

Een AWS KMS-sleutel maken

1	Meld u aan bij AWS en ga naar de AWS KMS-console.
2	Selecteer Door de klant beheerde sleutels en klik vervolgens op Sleutel maken.
3	Maak de sleutel met de volgende kenmerken: Sleuteltype: selecteer Symmetrisch. Sleutelgebruik: selecteer Coderen en decoderen. Labels: voer de alias, beschrijving en tags in. Belangrijke beheerders: selecteer de belangrijkste beheerdersgebruikers en -rollen van uw organisatie. Sleutel verwijderen: schakel het selectievakje Belangrijke beheerders toestaan deze sleutel te verwijderen in. Belangrijkste gebruikers: selecteer de belangrijkste gebruikers en rollen van uw organisatie.
4	Klik op Volgende.
5	Controleer uw instellingen en klik op Voltooien. Uw AWS KMS-sleutel is gemaakt.
6	Ga naar Door de klant beheerde sleutels en klik op de alias of sleutel-id om de ARN te bekijken.

De volgende stappen

Wij raden u aan een tijdelijke kopie van de ARN bij te houden. Deze ARN wordt gebruikt om uw AWS KMS-sleutel toe te voegen en te activeren in Control Hub.

Cisco KMS autoriseren met toegang tot de AWS KMS-sleutel

Meld u aan bij AWS en ga naar de AWS CloudShell-console.

Uitvoeren create-grant om Webex als volgt te autoriseren:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Bijvoorbeeld:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Het KMS_CISCO_USER_ARN is specifiek voor uw organisatie. De ARN wordt weergegeven in het venster Uw AWS-toets toevoegen wanneer u uw nieuwe AWK KMS-toets activeert in Control Hub.

Uw AWS KMS-sleutel toevoegen en activeren

Voordat u begint

U moet een AWS KMS-sleutel maken voordat u deze activeert in Control Hub. Raadpleeg Een AWS KMS-sleutel maken in dit artikel.

U moet Webex toegang geven tot de AWS KMS-sleutel. Raadpleeg Cisco KMS autoriseren met toegang tot de AWS KMS-sleutel in dit artikel.

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer en schakel Bring Your Own Key (BYOK) in. Als u BYOK uitschakelt, wordt Algemene standaardsleutel van Webex wordt de belangrijkste sleutel voor uw organisatie.
3	Selecteer AWS KMS-toets toevoegen en klik op Volgende.
4	Haal de ARN van de AWS-console.
5	Voer de ARN in Control Hub in en klik op Toevoegen. Uw sleutel-ARN wordt geüpload naar de Cisco KMS, waar toegang tot de sleutel wordt gevalideerd. Vervolgens toont Control Hub de Cisco KMS-sleutel-id van uw nieuwe AWS KMS-sleutel en de momenteel actieve Cisco KMS-sleutel-id, indien van toepassing. Als dit uw eerste AWS KMS-sleutel is, is de momenteel actieve sleutel de algemene standaardsleutel van Webex (de sleutel die we momenteel gebruiken voor het coderen van de sleutels van uw organisatie).
6	Kies hoe u uw sleutel wilt activeren: Activeren: De nieuwe AWS KMS-sleutel gaat onmiddellijk in de actieve status. Later activeren : De nieuwe AWS KMS-sleutel wordt verplaatst naar de status In behandeling. Webex houdt deze AWS KMS-sleutel ARN in de Cisco KMS, maar gebruikt deze nog niet. Webex blijft de momenteel actieve AWS KMS-sleutel gebruiken voor het coderen van de sleutels van uw organisatie.

Draai uw AWS KMS-toets

1	Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.
2	Ga naar de actieve AWS KMS-toets.
3	Klik op en selecteer Roteren.
4	Voer uw nieuwe AWS KMS-sleutel en nieuwe ARN in en klik op Toevoegen. Het proces wordt beschreven in Uw AMS KMS-sleutel toevoegen en activeren in dit artikel.
5	Klik op Activeren. De nieuwe AWS KMS-sleutel die u hebt geüpload, gaat naar de actieve status. De oude AWS KMS-sleutel blijft in de status Roteren totdat Webex alle inhoud heeft gecodeerd met de nieuwe actieve AWS KMS-sleutel. Na het opnieuw coderen verdwijnt de oude AWS KMS-sleutel automatisch uit Control Hub.

Roteren om nog een AWS KMS-toets toe te voegen (optioneel)

1	Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.
2	Klik op Nog een sleutel toevoegen.
3	Voer uw nieuwe AWS KMS-toets in en klik op Toevoegen. Control Hub toont de Cisco KMS-sleutel-id van uw nieuwe AWS KMS-sleutel en de id van de momenteel actieve Cisco KMS-sleutel-id. Het proces wordt beschreven in Uw AMS KMS-sleutel toevoegen en activeren in dit artikel.
4	Klik op Activeren. De nieuwe AWS KMS-sleutel die u hebt geüpload, gaat naar de actieve status. De oude AWS KMS-sleutel blijft in de status Roteren totdat Webex alle inhoud heeft gecodeerd met de nieuwe actieve AWS KMS-sleutel. Na het opnieuw coderen verdwijnt de oude AWS KMS-sleutel automatisch uit Control Hub.

Uw AWS KMS-sleutel intrekken

1	Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.
2	Ga naar de momenteel actieve AWS KMS-sleutel.
3	Klik op en selecteer Lokaal intrekken.
4	Bevestig de belangrijkste herroeping. Het kan maximaal 10 minuten duren om uw sleutel volledig in te trekken. De AWS KMS-sleutel gaat naar de status Lokaal ingetrokken.

Als uw klantbeheerder de sleutel van de AWS KMS-console intrekt, wordt de AWS KMS-sleutel weergegeven in de status Ingetrokken door Amazon in Control Hub.

Uw AWS KMS-sleutel verwijderen

1	Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.
2	Ga naar de ingetrokken AWS KMS-sleutel.
3	Klik op en selecteer Delete.
4	Bevestig het verwijderen van de sleutel. Eenmaal verwijderd, kunt u de sleutel binnen 30 dagen herstellen.

We raden u aan eerst de AWS KMS-sleutel uit Control Hub te verwijderen voordat u uw CMK uit de AWS-console verwijdert. Als u uw CMK uit de AWS-console verwijdert voordat u de AWS KMS-sleutel in Control Hub verwijdert, kunt u problemen ondervinden.

Zorg ervoor dat de AWS KMS-sleutel niet meer zichtbaar is in Control Hub voordat u uw CMK verwijdert uit de AWS-console.

Uw AWS KMS-sleutel herstellen

1	Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.
2	Ga naar de verwijderde AWS KMS-sleutel.
3	Klik op en selecteer Undelete.
4	Bevestig de belangrijkste restauratie. Zodra deze is hersteld, toont Control Hub u de sleutel in de status Ingetrokken.

Problemen met uw AWS KMS-sleutel oplossen

Als u problemen ondervindt met uw AWS KMS-sleutel, gebruikt u de volgende informatie om het probleem op te lossen.

AWS KMS-toets ARN. Bijvoorbeeld: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Subsidies op de AWS KMS-sleutel.
AWS KMS-sleutelstatus. De AWS KMS-sleutel is bijvoorbeeld uitgeschakeld.

Voorbeeld: Sleutels maken en coderen met OpenSSL

In dit voorbeeld wordt versie 3.0 van de OpenSSL-opdrachtregelprogramma's gebruikt. Zie OpenSSL voor meer informatie over deze hulpprogramma's.

1	Meld u aan Control Hub.
2	Ga naar Organisatie-instellingen > Sleutelbeheer .
3	Klik op Openbare sleutel downloaden . U krijgt de openbare sleutel van de Webex HSM in een PEM-bestand op uw lokale systeem.
4	Maak een 256-bits (32 bytes) sleutel: `openssl rand 32 -out main_key.bin` In het voorbeeld wordt de bestandsnaammain_key .bin voor uw niet-versleutelde nieuwe sleutel.
5	Gebruik de openbare sleutel van Webex HSM om uw nieuwe sleutel te versleutelen: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` In het voorbeeld wordt de bestandsnaammain_key_encrypted .bin voor de gecodeerde uitvoersleutel en de bestandsnaam pad/naar/public.pem voor de openbare Webex sleutel. De versleutelde sleutel is klaar om te uploaden naar Control Hub.