Over de hoofdsleutels van de klant

Als onderdeel van onze inzet voor end-to-end-beveiliging heeft Webex namens elke organisatie een hoofdsleutel. We noemen het een hoofdsleutel omdat deze inhoud niet rechtstreeks codeert, maar deze wordt gebruikt om andere sleutels van uw organisatie te coderen die de inhoud coderen. Het basisniveau van de sleutelhiërarchie wordt de inhoudsleutel (CK) genoemd en de tussenliggende niveaus van de sleutels worden de sleutelcoderingssleutels (KEK) genoemd.

We erkennen dat sommige organisaties er de voorkeur aan geven hun eigen beveiliging te beheren, dus bieden we u de optie om uw eigen hoofdsleutel (CMK) van de klant te beheren. Dit betekent dat u de verantwoordelijkheid neemt voor het maken en vervangen (opnieuw coderen) van de hoofdsleutel die Webex gebruikt om uw inhoudscoderingssleutels te coderen.

In de toekomst verwijst een sleutel naar de CMK, tenzij anders aangegeven.

Hoe werkt het

  1. Webex houdt uw CMK in een hardwarebeveiligingsmodule (HSM) zodat de Webex-services geen toegang hebben tot de CMK-waarde.

  2. Control Hub toont uw momenteel actieve of ingetrokken CMK en eventuele CMK in behandeling die zijn opgeslagen in de HSM. Wanneer u de CMK moet roteren (opnieuw versleutelen), genereert u uw nieuwe CMK en codeert u deze met de openbare sleutel van de HSM, zodat alleen de HSM deze kan decoderen en opslaan.

  3. Vervolgens uploadt en activeert u de nieuwe CMK in Control Hub. Webex gebruikt direct de nieuwe CMK voor het coderen van uw inhoudssleutels. Webex behoudt de oude CMK, maar alleen totdat er zeker van is dat de coderingssleutels van uw inhoud worden beveiligd door de nieuwe CMK.

We hercoderen niet alle bestaande inhoud met terugwerkende kracht. Nadat u uw CMK hebt geactiveerd, wordt alle nieuwe inhoud (ruimten en vergaderingen) opnieuw gecodeerd en beveiligd.
Over AWS KMS-sleutels

We erkennen dat sommige organisaties liever hun eigen sleutel buiten Webex beheren. Daarom bieden we u de mogelijkheid om uw eigen CMK te beheren in de Amazon Web Services (AWS) Key Management Service (KMS). Dit betekent dat u verantwoordelijk bent voor het beheer van uw sleutels in de AWS KMS. U geeft Webex toestemming om met uw AWS KMS-sleutel via de AWS-console te coderen en te decoderen. U geeft Webex uw AWS KMS-sleutel-id op in plaats van uw CMK. Dit betekent dat u de verantwoordelijkheid neemt voor het maken en vervangen (opnieuw coderen) van de AWS KMS-sleutel die Webex gebruikt om uw inhoudscoderingssleutels in de cloud te coderen.

Hoe werkt het

  1. U maakt een sleutel met AWS. De AWS KMS wordt gebruikt om uw sleutel te beheren en slaat de sleutel op in een hardwarebeveiligingsmodule (HSM).

  2. U geeft Webex toegang voor het gebruik van de AWS KMS-sleutel via de AWS-console.

    Dit betekent dat u Webex toegang geeft tot de AWS KMS-sleutel in plaats van uw CMK te uploaden naar Control Hub. De AWS KMS-sleutel verlaat uw AWS KMS niet en Webex-services hebben geen toegang tot het AWS KMS-sleutelmateriaal.

    Control Hub toont uw momenteel actieve of ingetrokken AWS KMS-sleutel en eventuele AWS KMS-sleutel in behandeling die is opgeslagen in de AWS KMS. Wanneer u de AWS KMS-sleutel moet vervangen, genereert u uw nieuwe AWS KMS-sleutel met de AWS KMS-console.

  3. Vervolgens voegt u de nieuwe AWS KMS-sleutel toe en activeert u deze in Control Hub en geeft u deze de Amazon Resource Name (ARN) van de nieuwe AWS KMS-sleutel. Webex gebruikt direct de nieuwe AWS KMS-sleutel voor het coderen van uw inhoudssleutels. Webex heeft niet langer de oude AWS KMS-sleutel nodig. De oude AWS KMS-sleutel verdwijnt uit Control Hub nadat uw coderingssleutels voor inhoud zijn vervangen en beveiligd door de nieuwe AWS KMS-sleutel. Webex verwijdert de AWS KMS-sleutel niet uit de AWS KMS. Uw klantbeheerder kan de sleutel verwijderen uit de AWS KMS.

Belangrijke statussen en levenscyclus

Levenscyclus van sleutel

Statusdefinities sleutel

In behandeling

Een sleutel in deze status wordt opgeslagen in de HSM, maar deze wordt nog niet gebruikt voor codering. Webex gebruikt deze CMK niet voor codering.

Er kan slechts één sleutel in deze status zijn.
Actief

Webex gebruikt momenteel deze CMK om andere sleutels voor uw organisatie te coderen.

Er kan slechts één sleutel in deze status zijn.
Rotatie

Webex gebruikt tijdelijk deze CMK. Webex heeft het nodig om uw gegevens en sleutels te decoderen die eerder met deze sleutel zijn gecodeerd. Deze sleutel wordt gedeactiveerd wanneer de rotatie (opnieuw versleutelen) is voltooid.

Er kunnen meerdere sleutels in deze status zijn als een nieuwe sleutel wordt geactiveerd voordat de vervanging is voltooid.
Buiten gebruik gesteld

Webex gebruikt deze CMK niet. Deze sleutel wordt niet meer gebruikt voor codering. Er wordt een sleuteltime-to-live ingesteld, waarna deze sleutel uit de HSM wordt verwijderd.

Ingetrokken

Webex gebruikt deze CMK niet. Zelfs als er gegevens en sleutels zijn die met deze sleutel zijn gecodeerd, kan Webex deze niet gebruiken om de gegevens en sleutels te decoderen.

  • U hoeft een actieve sleutel alleen in te trekken als u vermoedt dat deze is gecompromitteerd. Dit is een serieuze beslissing omdat het veel operaties ervan weerhoudt zich goed te gedragen. U kunt bijvoorbeeld geen nieuwe ruimten maken en geen inhoud decoderen in de Webex-client.
  • Er kan slechts één sleutel in deze status zijn. U moet deze sleutel opnieuw activeren om een nieuwe sleutel te vervangen (opnieuw versleutelen).
  • Deze CMK kan worden verwijderd, maar u hoeft deze niet te verwijderen. Mogelijk wilt u deze behouden voor decodering / opnieuw versleutelen nadat u de vermoedelijke beveiligingsinbreuk hebt opgelost.
Verwijderd

Webex gebruikt deze CMK niet. Het gedrag in deze status is hetzelfde als de status Ingetrokken, behalve dat een sleutel time-to-live wordt ingesteld, waarna deze sleutel wordt verwijderd uit de HSM.

  • Als een verwijderde CMK doorgaat naar de status Verwijderd, moet u de oorspronkelijke sleutel herstellen om de functionaliteit voor de organisatie te herstellen.
  • We raden u aan een back-up van uw oorspronkelijke sleutel te bewaren, anders werkt uw organisatie niet meer.
Verwijderd

Dit is een logische toestand. Webex heeft deze CMK niet opgeslagen in de HSM. Deze wordt niet weergegeven in Control Hub.

Vereisten

Eigendom

Door de eigenaar van uw CMK te worden, moet u:

  • Neem de verantwoordelijkheid voor het veilig aanmaken en maken van een back-up van uw sleutels
  • Begrijp de implicaties van het verliezen van je sleutels
  • Uw actieve CMK ten minste één keer per jaar opnieuw coderen als beste praktijk

Sleutel maken

U moet uw eigen CMK maken met deze parameters. Uw sleutel moet zijn:

  • 256 bits (32 bytes) lang
  • Gecodeerd met het RSA-OAEP-schema
  • Gecodeerd met de openbare HSM-sleutel van de Webex-cloud

Uw software voor sleutelgeneratie moet in staat zijn om:

  • SHA-256-hash-functie
  • MGF1 maskergeneratiefunctie
  • PKCS#1 OAEP-opvulling

Raadpleeg Voorbeeld: Maak en codeer sleutels met OpenSSL op het tabblad Resources in dit artikel.

Autorisatie

U moet toegang hebben tot uw Webex-organisatie in Control Hub. U moet een volledige beheerder zijn om uw CMK te beheren.

De hoofdsleutel van uw klant maken en activeren
1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

Als u BYOK wilt inschakelen, schakelt u Bring Your Own Key (BYOK) in. Als u BYOK uitschakelt, wordt de algemene standaardsleutel van Webex de hoofdsleutel voor uw organisatie.

3

Selecteer Een aangepaste sleutel uploaden en klik op Volgende.

4

Klik op Openbare sleutel downloaden.

Sla de openbare Webex HSM-sleutel op in een .pem-bestand op uw lokale systeem.

5

Maak een cryptografisch veilige willekeurige 256-bits (32 byte) sleutel met uw sleutelbeheersoftware.

6

Gebruik de openbare Webex HSM-sleutel om uw nieuwe sleutel te coderen.

De vereiste coderingsparameters zijn:

  • RSA-OAEP-regeling
  • SHA-256-hash-functie
  • MGF1 maskergeneratiefunctie
  • PKCS#1 OAEP-opvulling
Raadpleeg Voorbeeld: Maak en codeer sleutels met OpenSSL op het tabblad Resources in dit artikel.
7

Sleep de gecodeerde sleutel vanuit uw bestandssysteem en zet deze neer in het uploadgebied van de Control Hub-interface of klik op Een bestand kiezen.

8

Klik op Volgende.

Webex uploadt uw sleutel naar de HSM, waar deze wordt gedecodeerd en gevalideerd. Vervolgens toont Control Hub de id van uw nieuwe CMK en de id van de huidige actieve CMK, indien van toepassing.

Als dit uw eerste CMK is, is de momenteel actieve sleutel de algemene standaardsleutel van Webex (de sleutel die we momenteel gebruiken voor het coderen van de sleutels van uw organisatie).

9

Kies hoe u uw sleutel wilt activeren:

  • Nieuwe sleutel activeren: De nieuwe CMK gaat direct naar de status Actief. De eerder actieve CMK gaat in rotatie (status opnieuw versleutelen) totdat al uw inhoud wordt beschermd door de nieuwe CMK, waarna Webex de eerder actieve CMK verwijdert.
  • Later activeren: De nieuwe CMK gaat naar de status In behandeling. Webex houdt deze CMK in de HSM, maar gebruikt deze nog niet. Webex blijft de momenteel actieve CMK gebruiken voor het coderen van de sleutels van uw organisatie.

De volgende stappen

We hercoderen niet alle bestaande inhoud met terugwerkende kracht. Nadat u uw CMK hebt geactiveerd, wordt alle nieuwe inhoud (ruimten en vergaderingen) opnieuw gecodeerd en beveiligd.
Uw sleutel vervangen
1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

3

Ga naar de actieve CMK.

4

Klik Menu Meer op en selecteer Draaien.

5

Maak en versleutel een nieuwe sleutel (als u dat nog niet hebt gedaan).

Het proces wordt beschreven in Uw hoofdsleutel voor de klant maken en activeren in dit artikel.
6

Sleep de nieuwe sleutel vanuit uw bestandssysteem en zet deze neer in Control Hub.

7

Klik op Nieuwe sleutel activeren.

De nieuwe sleutel die u hebt geüpload, gaat naar de status Actief.

De oude CMK blijft in Rotation (status opnieuw versleutelen) totdat Webex alle inhoud met de nieuwe actieve CMK heeft gecodeerd. Na het opnieuw versleutelen gaat de sleutel over in de status Gedeactiveerd. Webex verwijdert vervolgens de oude CMK.

Uw sleutel intrekken
1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

3

Ga naar de actieve sleutel.

4

Klik op Menu Meer en selecteer Intrekken.

5

Bevestig de sleutelintrekking.

Het kan maximaal 10 minuten duren om uw sleutel volledig in te trekken.
Uw ingetrokken sleutel opnieuw activeren
1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

3

Ga naar de momenteel ingetrokken sleutel.

4

Klik op Menu Meer en selecteer Activeren.

5

Bevestig de activering van de sleutel.

De eerder ingetrokken sleutel gaat naar de status Actief.
Uw ingetrokken sleutel verwijderen
1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

3

Ga naar de ingetrokken sleutel.

4

Klik op Menu Meer en selecteer Verwijderen.

5

Bevestig het verwijderen van de sleutel.

Als deze is verwijderd, hebt u de optie om de sleutel binnen 30 dagen te herstellen.
Uw ingetrokken sleutel herstellen
1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

3

Ga naar de verwijderde sleutel.

4

Klik op Menu Meer en selecteer Verwijderen ongedaan maken.

5

Bevestig het herstellen van de sleutel.

Nadat de sleutel is hersteld, toont Control Hub u de sleutel in de status Ingetrokken voordat deze werd verwijderd. Als u bijvoorbeeld een ingetrokken sleutel verwijdert en vervolgens de sleutel herstelt, toont Control Hub de herstelde sleutel in de status Ingetrokken.

Vereisten

Eigendom

Door de eigenaar van uw AWS KMS-sleutel te worden, moet u:

  • Neem de verantwoordelijkheid voor het veilig maken en back-up van uw AWS KMS-sleutels.
  • Begrijp de implicaties van het verliezen van uw AWS KMS-sleutels.
  • Hercodeer uw actieve AMS KMS-sleutel ten minste één keer per jaar als beste praktijk.

Autorisatie

  • U moet bevoegd zijn om uw sleutels te maken en te beheren in de AWS KMS voor uw Webex-organisatie.
  • U moet toegang hebben tot uw Webex-organisatie in Control Hub. U moet een volledige beheerder zijn om uw AWS KMS-sleutel te beheren.
Een AWS KMS-sleutel maken
1

Meld u aan bij AWS en ga naar de AWS KMS-console.

2

Selecteer Door de klant beheerde sleutels en klik vervolgens op Sleutel maken.

3

Maak de sleutel met de volgende attributen:

  • Sleuteltype: selecteer Symmetrisch.
  • Sleutelgebruik: selecteer Coderen en decoderen.
  • Labels: voer de alias, beschrijving en tags in.
  • Sleutelbeheerders: selecteer de sleutelbeheerdersgebruikers en rollen van uw organisatie.
  • Sleutel verwijderen: schakel het selectievakje Sleutelbeheerders toestaan deze sleutel te verwijderen in.
  • Sleutelgebruikers: selecteer de sleutelgebruikers en rollen van uw organisatie.
4

Klik op Volgende.

5

Controleer uw instellingen en klik op Voltooien.

Uw AWS KMS-sleutel is gemaakt.
6

Ga naar Door klant beheerde sleutels en klik op de alias of sleutel-id om de ARN weer te geven.

De volgende stappen

We raden u aan een tijdelijke kopie van de ARN te bewaren. Deze ARN wordt gebruikt om uw AWS KMS-sleutel toe te voegen en te activeren in Control Hub.

Cisco KMS autoriseren met toegang tot de AWS KMS-sleutel
1

Meld u aan bij AWS en ga naar de AWS CloudShell-console.

2

Voer create-grant als volgt uit om Webex te autoriseren:

aws kms maken-toekenning \ --naam {UNIQUE_NAME_VOOR_TOEKENNING} \ --sleutel-id {UUID_Of_AWS_KMS-sleutel} \ --operations Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Bijvoorbeeld: 
aws kms create-grant \ --naam Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ --operations Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
De KMS_CISCO_-GEBRUIKER_ARN is specifiek voor uw organisatie. De ARN wordt weergegeven in het venster Uw AWS-sleutel toevoegen bij het activeren van uw nieuwe AWK KMS-sleutel in Control Hub.
Uw AWS KMS-sleutel toevoegen en activeren

Voordat u begint

U moet een AWS KMS-sleutel maken voordat u deze activeert in Control Hub. Raadpleeg Een AWS KMS-sleutel maken in dit artikel.

U moet Webex toegang geven tot de AWS KMS-sleutel. Raadpleeg Cisco KMS autoriseren met toegang tot de AWS KMS-sleutel in dit artikel.

1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer en schakel Bring Your Own Key (BYOK) in.

Als u BYOK uitschakelt, wordt de algemene standaardsleutel van Webex de hoofdsleutel voor uw organisatie.

3

Selecteer AWS KMS-sleutel toevoegen en klik op Volgende.

4

Haal de ARN op van de AWS-console.

5

Voer het ARN in Control Hub in en klik op Toevoegen.

Uw sleutel-ARN wordt geüpload naar de Cisco KMS, waar de toegang tot de sleutel wordt gevalideerd. Vervolgens toont Control Hub de Cisco KMS-sleutel-id van uw nieuwe AWS KMS-sleutel en de momenteel actieve Cisco KMS-sleutel-id, indien van toepassing.

Als dit uw eerste AWS KMS-sleutel is, is de momenteel actieve sleutel de algemene standaardsleutel van Webex (de sleutel die we momenteel gebruiken voor het coderen van de sleutels van uw organisatie).

6

Kies hoe u uw sleutel wilt activeren:

  • Activeren: De nieuwe AWS KMS-sleutel gaat direct naar de status Actief.
  • Later activeren: De nieuwe AWS KMS-sleutel wordt verplaatst naar de status In behandeling. Webex behoudt deze AWS KMS-sleutel ARN in de Cisco KMS, maar gebruikt deze nog niet. Webex blijft de momenteel actieve AWS KMS-sleutel gebruiken voor het coderen van de sleutels van uw organisatie.
Uw AWS KMS-sleutel draaien
1

Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.

2

Ga naar de actieve AWS KMS-sleutel.

3

Klik Menu Meer op en selecteer Draaien.

4

Voer uw nieuwe AWS KMS-sleutel en nieuwe ARN in en klik op Toevoegen.

Het proces wordt beschreven in Uw AMS KMS-sleutel toevoegen en activeren in dit artikel.
5

Klik op Activeren.

De nieuwe AWS KMS-sleutel die u hebt geüpload, wordt in de status Actief.

De oude AWS KMS-sleutel blijft in de roterende status totdat Webex alle inhoud heeft gecodeerd met de nieuwe actieve AWS KMS-sleutel. Na het opnieuw versleutelen verdwijnt de oude AWS KMS-sleutel automatisch uit Control Hub.

Draaien om een andere AWS KMS-sleutel toe te voegen (optioneel)
1

Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.

2

Klik op Nog een sleutel toevoegen.

3

Voer uw nieuwe AWS KMS-sleutel in en klik op Toevoegen.

Control Hub toont u de Cisco KMS-sleutel-id van uw nieuwe AWS KMS-sleutel en de id van de momenteel actieve Cisco KMS-sleutel-id.

Het proces wordt beschreven in Uw AMS KMS-sleutel toevoegen en activeren in dit artikel.

4

Klik op Activeren.

De nieuwe AWS KMS-sleutel die u hebt geüpload, wordt in de status Actief.

De oude AWS KMS-sleutel blijft in de roterende status totdat Webex alle inhoud heeft gecodeerd met de nieuwe actieve AWS KMS-sleutel. Na het opnieuw versleutelen verdwijnt de oude AWS KMS-sleutel automatisch uit Control Hub.

Uw AWS KMS-sleutel intrekken
1

Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.

2

Ga naar de momenteel actieve AWS KMS-sleutel.

3

Klik op Menu Meer en selecteer Lokaal intrekken.

4

Bevestig de sleutelintrekking.

Het kan maximaal 10 minuten duren om uw sleutel volledig in te trekken. De AWS KMS-sleutel gaat naar de Lokaal ingetrokken status.

Als uw klantbeheerder de sleutel van de AWS KMS-console intrekt, wordt de AWS KMS-sleutel weergegeven in de Ingetrokken door Amazon-status in Control Hub.

Uw AWS KMS-sleutel verwijderen
1

Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.

2

Ga naar de ingetrokken AWS KMS-sleutel.

3

Klik op Menu Meer en selecteer Verwijderen.

4

Bevestig het verwijderen van de sleutel.

Eenmaal verwijderd, kunt u de sleutel binnen 30 dagen herstellen.

We raden aan dat u de AWS KMS-sleutel eerst uit de Control Hub verwijdert voordat u uw CMK uit de AWS-console verwijdert. Als u uw CMK verwijdert uit de AWS-console voordat u de AWS KMS-sleutel in Control Hub verwijdert, kunnen er problemen optreden.

Zorg ervoor dat de AWS KMS-sleutel niet meer zichtbaar is in Control Hub voordat u uw CMK uit de AWS-console verwijdert.

Uw AWS KMS-sleutel herstellen
1

Meld u aan bij Control Hub en ga naar Organisatie-instellingen > Sleutelbeheer.

2

Ga naar de verwijderde AWS KMS-sleutel.

3

Klik op Menu Meer en selecteer Verwijderen ongedaan maken.

4

Bevestig het herstellen van de sleutel.

Na het herstellen toont Control Hub de sleutel in de status Ingetrokken.

Problemen met uw AWS KMS-sleutel oplossen

Als u problemen ondervindt met uw AWS KMS-sleutel, gebruikt u de volgende informatie om het probleem op te lossen.

  • AWS KMS-sleutel ARN. Bijvoorbeeld arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Subsidies op de AWS KMS-sleutel.

  • AWS KMS-sleutelstatus. De AWS KMS-sleutel is bijvoorbeeld uitgeschakeld.

Bijvoorbeeld: Sleutels maken en versleutelen met OpenSSL

In dit voorbeeld wordt versie 3.0 van de OpenSSL-opdrachtregelhulpprogramma's gebruikt. Zie OpenSSL voor meer informatie over deze tools.

1

Meld u aan Control Hub.

2

Ga naar Organisatie-instellingen > Sleutelbeheer.

3

Klik op Openbare sleutel downloaden.

U krijgt de openbare Webex HSM-sleutel in een .pem-bestand op uw lokale systeem.

4

Maak een 256-bits (32 byte) sleutel: openssl rand -out main_key.bin 32.

Het voorbeeld gebruikt de bestandsnaam main_key.bin voor uw niet-gecodeerde nieuwe sleutel.

U kunt ook een willekeurige 32-byte waarde genereren met behulp van Hex-dump, Python of online generators. U kunt ook uw AWS KMS-sleutel maken en beheren.

5

Gebruik de openbare Webex HSM-sleutel om uw nieuwe sleutel te coderen:

openssl pkeyutl -encrypt -pubin -inkey pad/naar/public.pem-inmain_key.bin-outmain_key_encrypted.bin-pkeyoptrsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Het voorbeeld gebruikt de bestandsnaam main_key_encrypted.bin voor de gecodeerde uitvoersleutel en het bestandsnaam pad/naar/public.pem voor de openbare Webex-sleutel.

De gecodeerde sleutel kan worden geüpload naar Control Hub.

Gerelateerd leesmateriaal