Webex er iboende sikker som standard, og vi har en hovednøkkel for kryptering av alle organisasjonens krypteringsnøkler. Hvis du foretrekker å kontrollere organisasjonens hovednøkkel, kan du gjøre det med Control Hub og dine foretrukne nøkkelbehandlingsverktøy.
Som en del av vår forpliktelse til ende-til-ende-sikkerhet, har Webex en hovednøkkel på vegne av hver organisasjon. Vi kaller det en hovednøkkel fordi den ikke krypterer innhold direkte, men den brukes til å kryptere organisasjonens andre nøkler som krypterer innholdet. Basisnivået i nøkkelhierarkiet kalles innholdsnøkkelen (CK), og de mellomliggende nivåene for nøklene kalles nøkkelkrypteringsnøkler (KEK).
Vi erkjenner at noen organisasjoner foretrekker å administrere sin egen sikkerhet, så vi gir deg muligheten til å administrere din egen kundehovednøkkel (CMK). Dette betyr at du tar ansvar for å opprette og rotere (rekryptere) hovednøkkelen som Webex bruker til å kryptere innholdskrypteringsnøklene dine.
Fremover refererer en nøkkel til CMK med mindre annet er angitt.
Hvordan det fungerer
Webex oppbevarer CMK-en i en maskinvaresikkerhetsmodul (HSM) slik at Webex-tjenestene ikke har tilgang til CMK-verdien.
Control Hub viser din aktive eller tilbakekalte CMK og eventuelle ventende CMK som er lagret i HSM. Når du må rotere (kryptere på nytt) CMK, genererer du den nye CMK og krypterer den med HSMs fellesnøkkel, slik at bare HSM kan dekryptere og lagre den.
Deretter laster du opp og aktiverer den nye CMK i Control Hub. Webex begynner umiddelbart å bruke den nye CMK for kryptering av innholdsnøklene dine. Webex beholder den gamle CMK, men bare til det er sikker på at innholdskrypteringsnøklene dine er sikret av den nye CMK.
Vi krypterer ikke alt eksisterende innhold på nytt med tilbakevirkende kraft. Når du aktiverer CMK, blir alt nytt innhold (områder og møter) kryptert og beskyttet på nytt. |
Vi erkjenner at noen organisasjoner foretrekker å administrere sin egen nøkkel utenfor Webex. Det er derfor vi gir deg muligheten til å administrere din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Dette innebærer at du er ansvarlig for å administrere nøklene dine i AWS KMS. Du autoriserer Webex til å kryptere og dekryptere ved hjelp av AWS KMS-nøkkelen via AWS-konsollen. Du gir Webex din AWS KMS-nøkkel-ID i stedet for CMK. Dette betyr at du tar ansvar for å opprette og rotere (kryptere på nytt) AWS KMS-nøkkelen som Webex bruker til å kryptere innholdskrypteringsnøklene i skyen.
Hvordan det fungerer
Du oppretter en nøkkel med AWS. AWS KMS brukes til å administrere nøkkelen og lagrer nøkkelen i en maskinvaresikkerhetsmodul (HSM).
Du gir Webex tilgang til å bruke AWS KMS-nøkkelen via AWS-konsollen.
Dette betyr at i stedet for å laste opp CMK til Control Hub, gir du Webex tilgang til AWS KMS-nøkkelen. AWS KMS-nøkkelen forlater ikke AWS KMS-en din, og Webex-tjenestene har ikke tilgang til AWS KMS-nøkkelmaterialet.
Control Hub viser den aktive eller tilbakekalte AWS KMS-nøkkelen og eventuelle ventende AWS KMS-nøkler som er lagret i AWS KMS. Når du trenger å rotere AWS KMS-nøkkelen, genererer du den nye AWS KMS-nøkkelen med AWS KMS-konsollen.
Deretter legger du til og aktiverer den nye AWS KMS-nøkkelen i Control Hub, og gir den Amazon Resource Name (ARN) til den nye AWS KMS-nøkkelen. Webex begynner umiddelbart å bruke den nye AWS KMS-nøkkelen for kryptering av innholdsnøklene dine. Webex krever ikke lenger den gamle AWS KMS-nøkkelen. Den gamle AWS KMS-nøkkelen forsvinner fra Control Hub etter at innholdskrypteringsnøklene dine er rotert og sikret med den nye AWS KMS-nøkkelen. Webex sletter ikke AWS KMS-nøkkelen fra AWS KMS. administrator din kan fjerne nøkkelen fra AWS KMS.
Nøkkellivssyklus
Definisjoner av nøkkeltilstand
- Ventende
-
En nøkkel i denne tilstanden er lagret i HSM, men den er ennå ikke brukt til kryptering. Webex bruker ikke denne CMK-en til kryptering.
Bare én nøkkel kan være i denne tilstanden. - Aktiv
-
Webex bruker for øyeblikket denne CMK-en til å kryptere andre nøkler for organisasjonen din.
Bare én nøkkel kan være i denne tilstanden. - Rotasjon
-
Webex bruker midlertidig denne CMK-en. Webex trenger den for å dekryptere dataene og nøklene dine som tidligere ble kryptert med denne nøkkelen. Denne nøkkelen avvikles når rotasjonen (rekryptering) er fullført.
Flere taster kan være i denne tilstanden hvis en ny tast aktiveres før rotasjonen er fullført. - Pensjonist
-
Webex bruker ikke denne CMK-en. Denne nøkkelen brukes ikke lenger til kryptering. Det angis en nøkkellevetid, og deretter fjernes denne nøkkelen fra HSM.
- Tilbakekalt
-
Webex bruker ikke denne CMK-en. Selv om det finnes data og nøkler som ble kryptert med denne nøkkelen, kan ikke Webex bruke den til å dekryptere dataene og nøklene.
- Du trenger bare å tilbakekalle en aktiv nøkkel hvis du mistenker at den er kompromittert. Dette er en alvorlig avgjørelse fordi den forhindrer at mange operasjoner oppfører seg som de skal. Du vil for eksempel ikke kunne opprette nye områder, og du vil ikke kunne dekryptere innhold i Webex Client.
- Bare én nøkkel kan være i denne tilstanden. Du må aktivere denne nøkkelen på nytt for å rotere (kryptere på nytt) en ny nøkkel.
- Denne CMK-en kan slettes, men du trenger ikke å slette den. Det kan være lurt å beholde den for dekryptering / rekryptering etter at du har løst det mistenkte sikkerhetsbruddet.
- Slettet
-
Webex bruker ikke denne CMK-en. Virkemåten i denne tilstanden er den samme som tilstanden tilbakekalt, bortsett fra at det angis en nøkkellevetid, og deretter fjernes denne nøkkelen fra HSM.
- Hvis en slettet CMK går videre til tilstanden Fjernet, må du gjenopprette den opprinnelige nøkkelen for å gjenopprette funksjonaliteten til organisasjonen.
- Vi anbefaler at du beholder en sikkerhetskopi av den opprinnelige nøkkelen, ellers vil ikke organisasjonen lenger fungere.
- Fjernet
-
Dette er en logisk tilstand. Webex har ikke denne CMK-en lagret i HSM. Den vises ikke i Control Hub.
Eierskap
Ved å overta eierskapet til CMK-en din må du:
- Ta ansvar for sikker oppretting og sikkerhetskopiering av nøklene dine
- Forstå konsekvensene av å miste nøklene dine
- Krypter den aktive CMK-en på nytt minst én gang i året som en god praksis
Opprettelse av nøkkel
Du må opprette din egen CMK ved hjelp av disse parametrene. Nøkkelen din må være:
- 256 biter (32 byte) lang
- Kryptert med RSA-OAEP-ordningen
- Kryptert med den offentlige Webex Cloud HSM-nøkkelen
Programvaren for nøkkelgenerering må kunne:
- SHA-256 hash-funksjon
- MGF1 maskegenereringsfunksjon
- PKCS#1 OAEP-polstring
Se Eksempel: Opprett og krypter nøkler med OpenSSL i Ressurser-fanen i denne artikkelen.
Autorisering
Du må ha tilgang til Webex-organisasjonen din i Control Hub. Du må være en full administrator for å administrere CMK.
1 | Logg på Kontrollhub . |
2 | Gå til .Hvis du vil aktivere BYOK, velger du Ta med din egen nøkkel (BYOK) på. Hvis du deaktiverer BYOK, vil Webex vanlig standardnøkkel blir hovednøkkelen for organisasjonen din. |
3 | Velg Last opp en egendefinert nøkkel og klikk Neste . |
4 | Klikk på Last ned offentlig nøkkel . Lagre den offentlige Webex HSM-nøkkelen i en .pem-fil på det lokale systemet. |
5 | Opprett en kryptografisk sikker 256-biters (32 byte) tilfeldig nøkkel ved hjelp av programvaren for nøkkelbehandling. |
6 | Bruk den offentlige Webex HSM-nøkkelen til å kryptere den nye nøkkelen. De nødvendige krypteringsparametrene er:
Se Eksempel: Opprett og krypter nøkler med OpenSSL i Ressurser-fanen i denne artikkelen.
|
7 | Dra den krypterte nøkkelen fra filsystemet og slipp den i opplastingsområdet i Control Hub-grensesnittet, eller klikk på Velg en fil . |
8 | Klikk på Neste. Webex laster opp nøkkelen din til HSM, der den blir dekryptert og validert. Deretter viser Control Hub deg ID-en til den nye CMK-en, og ID-en til den aktive CMK-en, hvis noen. Hvis dette er din første CMK, er den aktive nøkkelen Webex vanlig standardnøkkel (den vi for øyeblikket bruker til å kryptere organisasjonens nøkler). |
9 | Velg hvordan du vil aktivere nøkkelen:
|
Hva nå?
Vi krypterer ikke alt eksisterende innhold på nytt med tilbakevirkende kraft. Når du aktiverer CMK-en, blir alt nytt innhold (områder og møter) kryptert på nytt og beskyttet. |
1 | Logg på Kontrollhub . |
2 | Gå til . |
3 | Gå til den aktive CMK. |
4 | Klikkog velg Roter . |
5 | Opprett og krypter en ny nøkkel (hvis du ikke har gjort det ennå). Prosessen er beskrevet i Opprett og aktiver kundens hovednøkkel i denne artikkelen.
|
6 | Dra den nye nøkkelen fra filsystemet og slipp den i Control Hub. |
7 | Klikk på Aktiver ny nøkkel . Den nye nøkkelen du lastet opp, blir aktiv. Den gamle CMK-en forblir i rotasjon (status for ny kryptering) til Webex fullfører kryptering av alt innhold med den nye aktive CMK-en. Etter ny kryptering flyttes nøkkelen til avviklet tilstand. Webex sletter deretter den gamle CMK. |
1 | Logg på Kontrollhub . |
2 | Gå til . |
3 | Gå til den aktive tasten. |
4 | Klikkog velg Tilbakekall . |
5 | Bekreft tilbakekallingen av nøkkelen. Det kan ta opptil 10 minutter å tilbakekalle nøkkelen fullstendig.
|
1 | Logg på Kontrollhub . |
2 | Gå til . |
3 | Gå til den for øyeblikket tilbakekalte nøkkelen. |
4 | Klikkog velg Aktiver . |
5 | Bekreft tasteaktiveringen. Den tidligere tilbakekalte nøkkelen går til aktiv tilstand.
|
1 | Logg på Kontrollhub . |
2 | Gå til . |
3 | Gå til den tilbakekalte nøkkelen. |
4 | Klikkog velg Slett . |
5 | Bekreft sletting av nøkkel. Når nøkkelen er slettet, har du muligheten til å gjenopprette nøkkelen innen 30 dager.
|
1 | Logg på Kontrollhub . |
2 | Gå til . |
3 | Gå til den slettede tasten. |
4 | Klikkog velg Angre sletting . |
5 | Bekreft nøkkelgjenopprettingen. Når den er gjenopprettet, viser Control Hub deg nøkkelen i tilbakekalt tilstand før den ble slettet. Hvis du for eksempel sletter en tilbakekalt nøkkel og deretter gjenoppretter nøkkelen, viser Control Hub den gjenopprettede nøkkelen i tilbakekalt tilstand.
|
Eierskap
Ved å overta eierskapet til AWS KMS-nøkkelen må du:
- Ta ansvar for sikker oppretting og sikkerhetskopiering av AWS KMS-nøklene dine.
- Forstå konsekvensene av å miste AWS KMS-nøklene dine.
- Krypter den aktive AMS KMS-nøkkelen på nytt minst én gang i året som en god praksis.
Autorisering
- Du må være autorisert til å opprette og administrere nøklene i AWS KMS for Webex-organisasjonen din.
- Du må ha tilgang til Webex-organisasjonen din i Control Hub. Du må være en full administrator for å administrere AWS KMS-nøkkelen.
1 | Logg på AWS og gå til AWS KMS-konsollen. |
2 | Velg Kundeadministrerte nøkler og klikk deretter Opprett-nøkkel . |
3 | Opprett nøkkelen med følgende attributter:
|
4 | Klikk på Neste. |
5 | Se gjennom innstillingene og klikk Fullfør . AWS KMS-nøkkelen din er opprettet.
|
6 | Gå til Kundeadministrerte nøkler og klikk på Alias- eller Nøkkel-ID-en for å vise ARN. |
Hva nå?
Vi anbefaler at du beholder en midlertidig kopi av ARN. Denne ARN-en brukes til å legge til og aktivere AWS KMS-nøkkelen i Control Hub.
1 | Logg på AWS og gå til AWS CloudShell-konsollen. | ||
2 | Kjør For eksempel:
|
Før du starter
Du må opprette en AWS KMS-nøkkel før du aktiverer den i Control Hub. Se Opprett en AWS KMS-nøkkel i denne artikkelen.
Du må gi Webex tilgang til AWS KMS-nøkkelen. Se Autoriser Cisco KMS med tilgang til AWS KMS-nøkkelen i denne artikkelen.
1 | Logg på Kontrollhub . |
2 | Gå til Ta med din egen nøkkel (BYOK) på. , og veksleHvis du deaktiverer BYOK, vil Webex vanlig standardnøkkel blir hovednøkkelen for organisasjonen din. |
3 | Velg Legg til AWS KMS-nøkkel og klikk Neste . |
4 | Hent ARN fra AWS-konsollen. |
5 | Skriv inn ARN i Control Hub, og klikk på Legg til . ARN-nøkkelen din lastes opp til Cisco KMS, der tilgangen til nøkkelen bekreftes. Deretter viser Control Hub deg Cisco KMS-nøkkel-ID-en til den nye AWS KMS-nøkkelen, og den for øyeblikket aktive Cisco KMS-nøkkel-ID-en, hvis noen. Hvis dette er din første AWS KMS-nøkkel, er den aktive nøkkelen Webex vanlig standardnøkkel (den vi for øyeblikket bruker til å kryptere organisasjonens nøkler). |
6 | Velg hvordan du vil aktivere nøkkelen:
|
1 | Logg på Kontrollhub , og gå til . |
2 | Gå til den aktive AWS KMS-nøkkelen. |
3 | Klikkog velg Roter . |
4 | Skriv inn din nye AWS KMS-nøkkel og nye ARN, og klikk Legg til . Prosessen er beskrevet i Legg til og aktiver AMS KMS-nøkkelen i denne artikkelen.
|
5 | Klikk på Aktiver . Den nye AWS KMS-nøkkelen du lastet opp, blir aktiv. Den gamle AWS KMS-nøkkelen forblir i roterende tilstand til Webex fullfører kryptering av alt innholdet med den nye aktive AWS KMS-nøkkelen. Etter ny kryptering forsvinner den gamle AWS KMS-nøkkelen automatisk fra Control Hub. |
1 | Logg på Kontrollhub , og gå til . |
2 | Klikk på Legg til en annen nøkkel . |
3 | Skriv inn den nye AWS KMS-nøkkelen og klikk Legg til . Control Hub viser Cisco KMS-nøkkel-ID-en til den nye AWS KMS-nøkkelen, og ID-en til den for øyeblikket aktive Cisco KMS-nøkkel-ID-en. Prosessen er beskrevet i Legg til og aktiver AMS KMS-nøkkelen i denne artikkelen. |
4 | Klikk på Aktiver . Den nye AWS KMS-nøkkelen du lastet opp, blir aktiv. Den gamle AWS KMS-nøkkelen forblir i roterende tilstand til Webex fullfører kryptering av alt innholdet med den nye aktive AWS KMS-nøkkelen. Etter ny kryptering forsvinner den gamle AWS KMS-nøkkelen automatisk fra Control Hub. |
1 | Logg på Kontrollhub , og gå til . |
2 | Gå til den aktive AWS KMS-nøkkelen. |
3 | Klikkog velg Oppheve lokalt . |
4 | Bekreft tilbakekallingen av nøkkelen. Det kan ta opptil 10 minutter å tilbakekalle nøkkelen fullstendig. AWS KMS-nøkkelen går inn i tilstanden Lokalt tilbakekalt.
|
Hvis administrator tilbakekaller nøkkelen fra AWS KMS-konsollen, vises AWS KMS-nøkkelen i tilstanden Tilbakekalt av Amazon i Control Hub. |
1 | Logg på Kontrollhub , og gå til . |
2 | Gå til den tilbakekalte AWS KMS-nøkkelen. |
3 | Klikkog velg Slett . |
4 | Bekreft sletting av nøkkel. Når nøkkelen er slettet, kan du gjenopprette den innen 30 dager. |
Vi anbefaler at du sletter AWS KMS-nøkkelen fra Control Hub først før du sletter CMK fra AWS-konsollen. Hvis du sletter CMK fra AWS-konsollen før du sletter AWS KMS-nøkkelen i Control Hub, kan du få problemer. Kontroller at AWS KMS-nøkkelen ikke lenger er synlig i Control Hub før du sletter CMK fra AWS-konsollen. |
1 | Logg på Kontrollhub , og gå til . |
2 | Gå til den slettede AWS KMS-nøkkelen. |
3 | Klikkog velg Angre sletting . |
4 | Bekreft nøkkelgjenopprettingen. Når den er gjenopprettet, viser Control Hub deg nøkkelen i tilbakekalt tilstand. |
Hvis du får problemer med AWS KMS-nøkkelen, bruker du følgende informasjon til å feilsøke den.
AWS KMS-nøkkel ARN. For eksempel:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Nøkkeltilstand for AWS KMS. AWS KMS-nøkkelen er for eksempel deaktivert.
Dette eksemplet bruker versjon 3.0 av OpenSSL-kommandolinjeverktøyene. Se OpenSSL for mer om disse verktøyene.
1 | Logg på Kontrollhub . |
2 | Gå til . |
3 | Klikk på Last ned offentlig nøkkel . Du får den offentlige Webex HSM-nøkkelen i en .pem-fil på det lokale systemet. |
4 | Opprett en 256-biters (32 byte) nøkkel: Eksemplet bruker filnavnetmain_key .bin for den ukrypterte nye nøkkelen. Du kan også generere en tilfeldig verdi på 32 bytes ved hjelp av Hex-dump, Python eller elektroniske generatorer. Du kan også opprette og administrere AWS KMS-nøkkelen din . |
5 | Bruk den offentlige Webex HSM-nøkkelen til å kryptere den nye nøkkelen:
Eksemplet bruker filnavnetmain_key_encrypted .bin for den krypterte utdatanøkkelen og filnavnet path/to/public.pem for den offentlige Webex-nøkkelen. Den krypterte nøkkelen er klar til å lastes opp til Control Hub. |