Administrer din egen kundehovednøkkel

Om kundens hovednøkler

Som en del av vår forpliktelse til ende-til-ende-sikkerhet, har Webex en hovednøkkel på vegne av hver organisasjon. Vi kaller det en hovednøkkel fordi den ikke krypterer innhold direkte, men den brukes til å kryptere organisasjonens andre nøkler som krypterer innholdet. Basisnivået i nøkkelhierarkiet kalles innholdsnøkkelen (CK), og de mellomliggende nivåene for nøklene kalles nøkkelkrypteringsnøkler (KEK).

Vi erkjenner at noen organisasjoner foretrekker å administrere sin egen sikkerhet, så vi gir deg muligheten til å administrere din egen kundehovednøkkel (CMK). Dette betyr at du tar ansvar for å opprette og rotere (rekryptere) hovednøkkelen som Webex bruker til å kryptere innholdskrypteringsnøklene dine.

Fremover refererer en nøkkel til CMK med mindre annet er angitt.

Hvordan det fungerer

Webex oppbevarer CMK-en i en maskinvaresikkerhetsmodul (HSM) slik at Webex-tjenestene ikke har tilgang til CMK-verdien.
Control Hub viser din aktive eller tilbakekalte CMK og eventuelle ventende CMK som er lagret i HSM. Når du må rotere (kryptere på nytt) CMK, genererer du den nye CMK og krypterer den med HSMs fellesnøkkel, slik at bare HSM kan dekryptere og lagre den.
Deretter laster du opp og aktiverer den nye CMK i Control Hub. Webex begynner umiddelbart å bruke den nye CMK for kryptering av innholdsnøklene dine. Webex beholder den gamle CMK, men bare til det er sikker på at innholdskrypteringsnøklene dine er sikret av den nye CMK.

Vi krypterer ikke alt eksisterende innhold på nytt med tilbakevirkende kraft. Når du aktiverer CMK, blir alt nytt innhold (områder og møter) kryptert og beskyttet på nytt.

Om AWS KMS-nøkler

Vi erkjenner at noen organisasjoner foretrekker å administrere sin egen nøkkel utenfor Webex. Det er derfor vi gir deg muligheten til å administrere din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Dette innebærer at du er ansvarlig for å administrere nøklene dine i AWS KMS. Du autoriserer Webex til å kryptere og dekryptere ved hjelp av AWS KMS-nøkkelen via AWS-konsollen. Du gir Webex din AWS KMS-nøkkel-ID i stedet for CMK. Dette betyr at du tar ansvar for å opprette og rotere (kryptere på nytt) AWS KMS-nøkkelen som Webex bruker til å kryptere innholdskrypteringsnøklene i skyen.

Hvordan det fungerer

Du oppretter en nøkkel med AWS. AWS KMS brukes til å administrere nøkkelen og lagrer nøkkelen i en maskinvaresikkerhetsmodul (HSM).
Du gir Webex tilgang til å bruke AWS KMS-nøkkelen via AWS-konsollen.

Dette betyr at i stedet for å laste opp CMK til Control Hub, gir du Webex tilgang til AWS KMS-nøkkelen. AWS KMS-nøkkelen forlater ikke AWS KMS-en din, og Webex-tjenestene har ikke tilgang til AWS KMS-nøkkelmaterialet.

Control Hub viser den aktive eller tilbakekalte AWS KMS-nøkkelen og eventuelle ventende AWS KMS-nøkler som er lagret i AWS KMS. Når du trenger å rotere AWS KMS-nøkkelen, genererer du den nye AWS KMS-nøkkelen med AWS KMS-konsollen.
Deretter legger du til og aktiverer den nye AWS KMS-nøkkelen i Control Hub, og gir den Amazon Resource Name (ARN) til den nye AWS KMS-nøkkelen. Webex begynner umiddelbart å bruke den nye AWS KMS-nøkkelen for kryptering av innholdsnøklene dine. Webex krever ikke lenger den gamle AWS KMS-nøkkelen. Den gamle AWS KMS-nøkkelen forsvinner fra Control Hub etter at innholdskrypteringsnøklene dine er rotert og sikret med den nye AWS KMS-nøkkelen. Webex sletter ikke AWS KMS-nøkkelen fra AWS KMS. administrator din kan fjerne nøkkelen fra AWS KMS.

Nøkkeltilstander og livssyklus

Nøkkellivssyklus

Definisjoner av nøkkeltilstand

Ventende

En nøkkel i denne tilstanden er lagret i HSM, men den er ennå ikke brukt til kryptering. Webex bruker ikke denne CMK-en til kryptering.

Bare én nøkkel kan være i denne tilstanden.

Aktiv

Webex bruker for øyeblikket denne CMK-en til å kryptere andre nøkler for organisasjonen din.

Bare én nøkkel kan være i denne tilstanden.

Rotasjon

Webex bruker midlertidig denne CMK-en. Webex trenger den for å dekryptere dataene og nøklene dine som tidligere ble kryptert med denne nøkkelen. Denne nøkkelen avvikles når rotasjonen (rekryptering) er fullført.

Flere taster kan være i denne tilstanden hvis en ny tast aktiveres før rotasjonen er fullført.

Pensjonist

Webex bruker ikke denne CMK-en. Denne nøkkelen brukes ikke lenger til kryptering. Det angis en nøkkellevetid, og deretter fjernes denne nøkkelen fra HSM.

Tilbakekalt

Webex bruker ikke denne CMK-en. Selv om det finnes data og nøkler som ble kryptert med denne nøkkelen, kan ikke Webex bruke den til å dekryptere dataene og nøklene.

Du trenger bare å tilbakekalle en aktiv nøkkel hvis du mistenker at den er kompromittert. Dette er en alvorlig avgjørelse fordi den forhindrer at mange operasjoner oppfører seg som de skal. Du vil for eksempel ikke kunne opprette nye områder, og du vil ikke kunne dekryptere innhold i Webex Client.
Bare én nøkkel kan være i denne tilstanden. Du må aktivere denne nøkkelen på nytt for å rotere (kryptere på nytt) en ny nøkkel.
Denne CMK-en kan slettes, men du trenger ikke å slette den. Det kan være lurt å beholde den for dekryptering / rekryptering etter at du har løst det mistenkte sikkerhetsbruddet.

Slettet

Webex bruker ikke denne CMK-en. Virkemåten i denne tilstanden er den samme som tilstanden tilbakekalt, bortsett fra at det angis en nøkkellevetid, og deretter fjernes denne nøkkelen fra HSM.

Hvis en slettet CMK går videre til tilstanden Fjernet, må du gjenopprette den opprinnelige nøkkelen for å gjenopprette funksjonaliteten til organisasjonen.

Vi anbefaler at du beholder en sikkerhetskopi av den opprinnelige nøkkelen, ellers vil ikke organisasjonen lenger fungere.

Fjernet

Dette er en logisk tilstand. Webex har ikke denne CMK-en lagret i HSM. Den vises ikke i Control Hub.

Krav

Eierskap

Ved å overta eierskapet til CMK-en din må du:

Ta ansvar for sikker oppretting og sikkerhetskopiering av nøklene dine
Forstå konsekvensene av å miste nøklene dine
Krypter den aktive CMK-en på nytt minst én gang i året som en god praksis

Opprettelse av nøkkel

Du må opprette din egen CMK ved hjelp av disse parametrene. Nøkkelen din må være:

256 biter (32 byte) lang
Kryptert med RSA-OAEP-ordningen
Kryptert med den offentlige Webex Cloud HSM-nøkkelen

Programvaren for nøkkelgenerering må kunne:

SHA-256 hash-funksjon
MGF1 maskegenereringsfunksjon
PKCS#1 OAEP-polstring

Se Eksempel: Opprett og krypter nøkler med OpenSSL i Ressurser-fanen i denne artikkelen.

Autorisering

Du må ha tilgang til Webex-organisasjonen din i Control Hub. Du må være en full administrator for å administrere CMK.

Opprett og aktiver kundens hovednøkkel

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse . Hvis du vil aktivere BYOK, velger du Ta med din egen nøkkel (BYOK) på. Hvis du deaktiverer BYOK, vil Webex vanlig standardnøkkel blir hovednøkkelen for organisasjonen din.
3	Velg Last opp en egendefinert nøkkel og klikk Neste .
4	Klikk på Last ned offentlig nøkkel . Lagre den offentlige Webex HSM-nøkkelen i en .pem-fil på det lokale systemet.
5	Opprett en kryptografisk sikker 256-biters (32 byte) tilfeldig nøkkel ved hjelp av programvaren for nøkkelbehandling.
6	Bruk den offentlige Webex HSM-nøkkelen til å kryptere den nye nøkkelen. De nødvendige krypteringsparametrene er: RSA-OAEP-ordning SHA-256 hash-funksjon MGF1 maskegenereringsfunksjon PKCS#1 OAEP-polstring Se Eksempel: Opprett og krypter nøkler med OpenSSL i Ressurser-fanen i denne artikkelen.
7	Dra den krypterte nøkkelen fra filsystemet og slipp den i opplastingsområdet i Control Hub-grensesnittet, eller klikk på Velg en fil .
8	Klikk på Neste. Webex laster opp nøkkelen din til HSM, der den blir dekryptert og validert. Deretter viser Control Hub deg ID-en til den nye CMK-en, og ID-en til den aktive CMK-en, hvis noen. Hvis dette er din første CMK, er den aktive nøkkelen Webex vanlig standardnøkkel (den vi for øyeblikket bruker til å kryptere organisasjonens nøkler).
9	Velg hvordan du vil aktivere nøkkelen: Aktiver ny nøkkel : Den nye CMK-en går umiddelbart til aktiv tilstand. Den tidligere aktive CMK-en går til rotasjon (rekryptering-tilstand), til alt innholdet ditt er beskyttet av den nye CMK-en, hvoretter Webex sletter den tidligere aktive CMK-en. Aktiver senere : Den nye CMK-en flyttes til tilstanden Venter. Webex beholder denne CMK-en i HSM, men bruker den ikke ennå. Webex fortsetter å bruke den aktive CMK-en for kryptering av organisasjonens nøkler.

Hva nå?

Vi krypterer ikke alt eksisterende innhold på nytt med tilbakevirkende kraft. Når du aktiverer CMK-en, blir alt nytt innhold (områder og møter) kryptert på nytt og beskyttet.

Vri på nøkkelen

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse .
3	Gå til den aktive CMK.
4	Klikk på og velg Roter .
5	Opprett og krypter en ny nøkkel (hvis du ikke har gjort det ennå). Prosessen er beskrevet i Opprett og aktiver kundens hovednøkkel i denne artikkelen.
6	Dra den nye nøkkelen fra filsystemet og slipp den i Control Hub.
7	Klikk på Aktiver ny nøkkel . Den nye nøkkelen du lastet opp, blir aktiv. Den gamle CMK-en forblir i rotasjon (status for ny kryptering) til Webex fullfører kryptering av alt innhold med den nye aktive CMK-en. Etter ny kryptering flyttes nøkkelen til avviklet tilstand. Webex sletter deretter den gamle CMK.

Tilbakekall nøkkelen din

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse .
3	Gå til den aktive tasten.
4	Klikk på og velg Tilbakekall .
5	Bekreft tilbakekallingen av nøkkelen. Det kan ta opptil 10 minutter å tilbakekalle nøkkelen fullstendig.

Aktiver den tilbakekalte nøkkelen på nytt

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse .
3	Gå til den for øyeblikket tilbakekalte nøkkelen.
4	Klikk på og velg Aktiver .
5	Bekreft tasteaktiveringen. Den tidligere tilbakekalte nøkkelen går til aktiv tilstand.

Slett den tilbakekalte nøkkelen

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse .
3	Gå til den tilbakekalte nøkkelen.
4	Klikk på og velg Slett .
5	Bekreft sletting av nøkkel. Når nøkkelen er slettet, har du muligheten til å gjenopprette nøkkelen innen 30 dager.

Gjenopprett den tilbakekalte nøkkelen

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse .
3	Gå til den slettede tasten.
4	Klikk på og velg Angre sletting .
5	Bekreft nøkkelgjenopprettingen. Når den er gjenopprettet, viser Control Hub deg nøkkelen i tilbakekalt tilstand før den ble slettet. Hvis du for eksempel sletter en tilbakekalt nøkkel og deretter gjenoppretter nøkkelen, viser Control Hub den gjenopprettede nøkkelen i tilbakekalt tilstand.

Krav

Eierskap

Ved å overta eierskapet til AWS KMS-nøkkelen må du:

Ta ansvar for sikker oppretting og sikkerhetskopiering av AWS KMS-nøklene dine.
Forstå konsekvensene av å miste AWS KMS-nøklene dine.
Krypter den aktive AMS KMS-nøkkelen på nytt minst én gang i året som en god praksis.

Autorisering

Du må være autorisert til å opprette og administrere nøklene i AWS KMS for Webex-organisasjonen din.
Du må ha tilgang til Webex-organisasjonen din i Control Hub. Du må være en full administrator for å administrere AWS KMS-nøkkelen.

Opprett en AWS KMS-nøkkel

1	Logg på AWS og gå til AWS KMS-konsollen.
2	Velg Kundeadministrerte nøkler og klikk deretter Opprett-nøkkel .
3	Opprett nøkkelen med følgende attributter: Nøkkeltype – velg Symmetrisk . Tastebruk – velg Krypter og dekrypter . Etiketter – angi alias, beskrivelse og koder. Nøkkeladministratorer – velg organisasjonens viktigste administrator og -roller. Sletting av tast – Kontroller La nøkkeladministratorer slette denne nøkkelen . Nøkkelbrukere – velg organisasjonens nøkkelbrukere og -roller.
4	Klikk på Neste.
5	Se gjennom innstillingene og klikk Fullfør . AWS KMS-nøkkelen din er opprettet.
6	Gå til Kundeadministrerte nøkler og klikk på Alias- eller Nøkkel-ID-en for å vise ARN.

Hva nå?

Vi anbefaler at du beholder en midlertidig kopi av ARN. Denne ARN-en brukes til å legge til og aktivere AWS KMS-nøkkelen i Control Hub.

Autoriser Cisco KMS med tilgang til AWS KMS-nøkkelen

Logg på AWS og gå til AWS CloudShell-konsollen.

Kjør create-grant for å autorisere Webex på følgende måte:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

For eksempel:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Filen KMS_CISCO_USER_ARN er spesifikk for organisasjonen din. ARN-en vises i vinduet Legg til AWS-nøkkelen din når du aktiverer den nye AWK KMS-nøkkelen i Control Hub.

Legg til og aktiver AWS KMS-nøkkelen

Før du starter

Du må opprette en AWS KMS-nøkkel før du aktiverer den i Control Hub. Se Opprett en AWS KMS-nøkkel i denne artikkelen.

Du må gi Webex tilgang til AWS KMS-nøkkelen. Se Autoriser Cisco KMS med tilgang til AWS KMS-nøkkelen i denne artikkelen.

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse , og veksle Ta med din egen nøkkel (BYOK) på. Hvis du deaktiverer BYOK, vil Webex vanlig standardnøkkel blir hovednøkkelen for organisasjonen din.
3	Velg Legg til AWS KMS-nøkkel og klikk Neste .
4	Hent ARN fra AWS-konsollen.
5	Skriv inn ARN i Control Hub, og klikk på Legg til . ARN-nøkkelen din lastes opp til Cisco KMS, der tilgangen til nøkkelen bekreftes. Deretter viser Control Hub deg Cisco KMS-nøkkel-ID-en til den nye AWS KMS-nøkkelen, og den for øyeblikket aktive Cisco KMS-nøkkel-ID-en, hvis noen. Hvis dette er din første AWS KMS-nøkkel, er den aktive nøkkelen Webex vanlig standardnøkkel (den vi for øyeblikket bruker til å kryptere organisasjonens nøkler).
6	Velg hvordan du vil aktivere nøkkelen: Aktiver : Den nye AWS KMS-nøkkelen går umiddelbart til aktiv tilstand. Aktiver senere : Den nye AWS KMS-nøkkelen flyttes til Venter-tilstanden. Webex beholder denne AWS KMS-nøkkelen ARN i Cisco KMS, men bruker den ikke ennå. Webex fortsetter å bruke den for øyeblikket aktive AWS KMS-nøkkelen for å kryptere organisasjonens nøkler.

Roter AWS KMS-nøkkelen

1	Logg på Kontrollhub , og gå til Organisasjonsinnstillinger > Nøkkelledelse .
2	Gå til den aktive AWS KMS-nøkkelen.
3	Klikk på og velg Roter .
4	Skriv inn din nye AWS KMS-nøkkel og nye ARN, og klikk Legg til . Prosessen er beskrevet i Legg til og aktiver AMS KMS-nøkkelen i denne artikkelen.
5	Klikk på Aktiver. Den nye AWS KMS-nøkkelen du lastet opp, blir aktiv. Den gamle AWS KMS-nøkkelen forblir i roterende tilstand til Webex fullfører kryptering av alt innholdet med den nye aktive AWS KMS-nøkkelen. Etter ny kryptering forsvinner den gamle AWS KMS-nøkkelen automatisk fra Control Hub.

Roter for å legge til en annen AWS KMS-nøkkel (valgfritt)

1	Logg på Kontrollhub , og gå til Organisasjonsinnstillinger > Nøkkelledelse .
2	Klikk på Legg til en annen nøkkel .
3	Skriv inn den nye AWS KMS-nøkkelen og klikk Legg til . Control Hub viser Cisco KMS-nøkkel-ID-en til den nye AWS KMS-nøkkelen, og ID-en til den for øyeblikket aktive Cisco KMS-nøkkel-ID-en. Prosessen er beskrevet i Legg til og aktiver AMS KMS-nøkkelen i denne artikkelen.
4	Klikk på Aktiver. Den nye AWS KMS-nøkkelen du lastet opp, blir aktiv. Den gamle AWS KMS-nøkkelen forblir i roterende tilstand til Webex fullfører kryptering av alt innholdet med den nye aktive AWS KMS-nøkkelen. Etter ny kryptering forsvinner den gamle AWS KMS-nøkkelen automatisk fra Control Hub.

Tilbakekall AWS KMS-nøkkelen

1	Logg på Kontrollhub , og gå til Organisasjonsinnstillinger > Nøkkelledelse .
2	Gå til den aktive AWS KMS-nøkkelen.
3	Klikk på og velg Oppheve lokalt .
4	Bekreft tilbakekallingen av nøkkelen. Det kan ta opptil 10 minutter å tilbakekalle nøkkelen fullstendig. AWS KMS-nøkkelen går inn i tilstanden Lokalt tilbakekalt.

Hvis administrator tilbakekaller nøkkelen fra AWS KMS-konsollen, vises AWS KMS-nøkkelen i tilstanden Tilbakekalt av Amazon i Control Hub.

Slett AWS KMS-nøkkelen din

1	Logg på Kontrollhub , og gå til Organisasjonsinnstillinger > Nøkkelledelse .
2	Gå til den tilbakekalte AWS KMS-nøkkelen.
3	Klikk på og velg Slett .
4	Bekreft sletting av nøkkel. Når nøkkelen er slettet, kan du gjenopprette den innen 30 dager.

Vi anbefaler at du sletter AWS KMS-nøkkelen fra Control Hub først før du sletter CMK fra AWS-konsollen. Hvis du sletter CMK fra AWS-konsollen før du sletter AWS KMS-nøkkelen i Control Hub, kan du få problemer.

Kontroller at AWS KMS-nøkkelen ikke lenger er synlig i Control Hub før du sletter CMK fra AWS-konsollen.

Gjenopprett AWS KMS-nøkkelen

1	Logg på Kontrollhub , og gå til Organisasjonsinnstillinger > Nøkkelledelse .
2	Gå til den slettede AWS KMS-nøkkelen.
3	Klikk på og velg Angre sletting .
4	Bekreft nøkkelgjenopprettingen. Når den er gjenopprettet, viser Control Hub deg nøkkelen i tilbakekalt tilstand.

Feilsøk AWS KMS-nøkkelen

Hvis du får problemer med AWS KMS-nøkkelen, bruker du følgende informasjon til å feilsøke den.

AWS KMS-nøkkel ARN. For eksempel: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Grants på AWS KMS-nøkkelen .
Nøkkeltilstand for AWS KMS. AWS KMS-nøkkelen er for eksempel deaktivert.

Eksempel: Opprett og krypter nøkler med OpenSSL

Dette eksemplet bruker versjon 3.0 av OpenSSL-kommandolinjeverktøyene. Se OpenSSL for mer om disse verktøyene.

1	Logg på Kontrollhub .
2	Gå til Organisasjonsinnstillinger > Nøkkelledelse .
3	Klikk på Last ned offentlig nøkkel . Du får den offentlige Webex HSM-nøkkelen i en .pem-fil på det lokale systemet.
4	Opprett en 256-biters (32 byte) nøkkel: `openssl rand 32 -out main_key.bin` Eksemplet bruker filnavnetmain_key .bin for den ukrypterte nye nøkkelen.
5	Bruk den offentlige Webex HSM-nøkkelen til å kryptere den nye nøkkelen: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Eksemplet bruker filnavnetmain_key_encrypted .bin for den krypterte utdatanøkkelen og filnavnet path/to/public.pem for den offentlige Webex-nøkkelen. Den krypterte nøkkelen er klar til å lastes opp til Control Hub.