Om kundens hovednøkler

Som en del av vår forpliktelse til ende-til-ende-sikkerhet har Webex en hovednøkkel på vegne av hver organisasjon. Vi kaller den en hovednøkkel fordi den ikke krypterer innhold direkte, men den brukes til å kryptere organisasjonens andre nøkler som krypterer innholdet. Basisnivået i nøkkelhierarkiet kalles innholdsnøkkelen (CK), og de mellomliggende nivåene for nøklene kalles nøkkelkrypteringsnøkler (KEK).

Vi erkjenner at noen organisasjoner foretrekker å administrere sin egen sikkerhet, så vi gir deg muligheten til å administrere din egen kundehovednøkkel (CMK). Dette betyr at du tar ansvar for å opprette og rotere (på nytt kryptere) hovednøkkelen som Webex bruker til å kryptere innholdskrypteringsnøklene dine.

Fremover refererer en nøkkel til CMK med mindre noe annet er angitt.

Slik fungerer det

  1. Webex beholder CMK-en din i en maskinvaresikkerhetsmodul (HSM), slik at Webex-tjenestene ikke har tilgang til CMK-verdien.

  2. Control Hub viser din nåværende aktive eller tilbakekalte CMK og eventuelle ventende CMK som er lagret i HSM. Når du trenger å rotere (kryptere på nytt) CMK, genererer du din nye CMK og krypterer den med HSMs offentlige nøkkel, slik at bare HSM kan dekryptere og lagre den.

  3. Deretter laster du opp og aktiverer den nye CMK-en i Control Hub. Webex begynner umiddelbart å bruke den nye CMK til å kryptere innholdsnøklene dine. Webex beholder den gamle CMK-en, men bare til det er sikker på at innholdskrypteringsnøklene er sikret av den nye CMK-en.

Vi krypterer ikke alt eksisterende innhold med tilbakevirkende kraft. Når du aktiverer CMK, blir alt nytt innhold (områder og møter) kryptert og beskyttet på nytt.
Om AWS KMS-nøkler

Vi erkjenner at noen organisasjoner foretrekker å administrere sin egen nøkkel utenfor Webex. Derfor gir vi deg muligheten til å administrere din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Dette betyr at du er ansvarlig for å administrere nøklene dine i AWS KMS. Du gir Webex tillatelse til å kryptere og dekryptere ved hjelp av AWS KMS-nøkkelen via AWS-konsollen. Du gir Webex din AWS KMS nøkkel-ID i stedet for din CMK. Dette betyr at du tar ansvar for å opprette og rotere (på nytt kryptere) AWS KMS-nøkkelen som Webex bruker til å kryptere innholdskrypteringsnøklene dine i skyen.

Slik fungerer det

  1. Du oppretter en nøkkel med AWS. AWS KMS brukes til å administrere nøkkelen din og lagrer nøkkelen i en maskinvaresikkerhetsmodul (HSM).

  2. Du gir Webex tilgang til å bruke AWS KMS-nøkkelen via AWS-konsollen.

    Dette betyr at du i stedet for å laste opp CMK til Control Hub gir Webex tilgang til AWS KMS-nøkkelen. AWS KMS-nøkkelen forlater ikke din AWS KMS, og Webex-tjenester har ikke tilgang til AWS KMS-nøkkelmaterialet.

    Control Hub viser din nåværende aktive eller tilbakekalte AWS KMS-nøkkel og eventuelle ventende AWS KMS-nøkkel som er lagret i AWS KMS. Når du trenger å rotere AWS KMS-nøkkelen, genererer du den nye AWS KMS-nøkkelen med AWS KMS-konsollen.

  3. Deretter legger du til og aktiverer den nye AWS KMS-nøkkelen i Control Hub, og gir den Amazon Resource Name (ARN) til den nye AWS KMS-nøkkelen. Webex begynner umiddelbart å bruke den nye AWS KMS-nøkkelen for å kryptere innholdsnøklene dine. Webex krever ikke lenger den gamle AWS KMS-nøkkelen. Den gamle AWS KMS-nøkkelen forsvinner fra Control Hub etter at innholdskrypteringsnøklene er rotert og sikret av den nye AWS KMS-nøkkelen. Webex sletter ikke AWS KMS-nøkkelen fra AWS KMS. Kundeadministratoren kan fjerne nøkkelen fra AWS KMS.

Viktige tilstander og livssyklus

Nøkkellivssyklus

Definisjoner for nøkkeltilstand

Ventende

En nøkkel i denne tilstanden lagres i HSM, men den er ennå ikke brukt til kryptering. Webex bruker ikke denne CMK-en til kryptering.

Bare én nøkkel kan være i denne tilstanden.
Aktiv

Webex bruker for øyeblikket denne CMK-en til å kryptere andre nøkler for organisasjonen din.

Bare én nøkkel kan være i denne tilstanden.
Rotasjon

Webex bruker midlertidig denne CMK-en. Webex trenger den for å dekryptere data og nøkler som tidligere var kryptert med denne nøkkelen. Denne nøkkelen trekkes tilbake når rotasjonen (ny kryptering) er fullført.

Flere nøkler kan være i denne tilstanden hvis en ny nøkkel aktiveres før rotasjonen er fullført.
Pensjonert

Webex bruker ikke denne CMK. Denne nøkkelen brukes ikke lenger til kryptering. Det er angitt en nøkkeltid til å leve, og deretter fjernes denne nøkkelen fra HSM.

Tilbakekalt

Webex bruker ikke denne CMK. Selv om det er data og nøkler som ble kryptert med denne nøkkelen, kan ikke Webex bruke den til å dekryptere dataene og nøklene.

  • Du trenger bare å tilbakekalle en aktiv nøkkel hvis du mistenker at den er kompromittert. Dette er en alvorlig beslutning fordi det hindrer mange operasjoner i å oppføre seg riktig. Du vil for eksempel ikke kunne opprette nye områder, og du vil ikke kunne dekryptere noe innhold i Webex-klienten.
  • Bare én nøkkel kan være i denne tilstanden. Du må aktivere denne nøkkelen på nytt for å rotere (kryptere på nytt) en ny nøkkel.
  • Denne CMK-en kan slettes, men du trenger ikke å slette den. Det kan være lurt å beholde den for dekryptering/omkryptering etter at du har løst det mistenkte sikkerhetsbruddet.
Slettet

Webex bruker ikke denne CMK. Atferden i denne tilstanden er den samme som i tilstanden Tilbakekalt, bortsett fra at en nøkkeltid til å leve er angitt, og deretter fjernes denne nøkkelen fra HSM.

  • Hvis en slettet CMK går videre til Fjernet tilstand, må du gjenopprette den opprinnelige nøkkelen for å gjenopprette funksjonaliteten til organisasjonen.
  • Vi anbefaler at du beholder en sikkerhetskopi av den opprinnelige nøkkelen, ellers vil organisasjonen din ikke lenger fungere.
Fjernet

Dette er en logisk tilstand. Webex har ikke denne CMK-en lagret i HSM. Den vises ikke i Control Hub.

Krav

Eierskap

Ved å ta eierskap av din CMK må du:

  • Ta ansvar for sikker oppretting og sikkerhetskopiering av nøklene dine
  • Forstå konsekvensene av å miste nøklene dine
  • Krypter din aktive CMK på nytt minst én gang i året som beste praksis

Nøkkelopprettelse

Du må opprette din egen CMK ved hjelp av disse parametrene. Nøkkelen må være:

  • 256 bit (32 byte) lang
  • Kryptert med RSA-OAEP-ordningen
  • Kryptert med Webex-skyens offentlige nøkkel HSM

Programvaren for nøkkelgenerering må kunne:

  • Hash-funksjon SHA-256
  • MGF1 maskefunksjon
  • PKCS#1 OAEP-padding

Se Eksempel: Opprett og krypter nøkler med OpenSSL i Ressurser-fanen i denne artikkelen.

Autorisasjon

Du må ha tilgang til Webex-organisasjonen din i Control Hub. Du må være en fullverdig administrator for å administrere CMK.

Opprett og aktiver kundens hovednøkkel
1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkeladministrasjon.

Hvis du vil aktivere BYOK, slår du på Ta med din egen nøkkel (BYOK) . Hvis du deaktiverer BYOK, blir den vanlige Webex-standardnøkkelen hovednøkkelen for organisasjonen din.

3

Velg Last opp en egendefinert nøkkel og klikk på Neste.

4

Klikk på Last ned offentlig nøkkel.

Lagre den offentlige nøkkelen for Webex HSM i en .pem-fil på ditt lokale system.

5

Opprett en kryptografisk sikker 256-biters (32 byte) tilfeldig nøkkel ved hjelp av nøkkeladministrasjonsprogramvaren.

6

Bruk den offentlige Webex HSM-nøkkelen til å kryptere den nye nøkkelen.

De nødvendige krypteringsparametrene er:

  • RSA-OAEP-skjema
  • Hash-funksjon SHA-256
  • MGF1 maskefunksjon
  • PKCS#1 OAEP-padding
Se Eksempel: Opprett og krypter nøkler med OpenSSL i Ressurser-fanen i denne artikkelen.
7

Dra den krypterte nøkkelen fra filsystemet og slipp den i opplastingsområdet i Control Hub-grensesnittet, eller klikk på Velg en fil.

8

Klikk på Neste.

Webex laster opp nøkkelen din til HSM, der den blir dekryptert og validert. Deretter viser Control Hub ID-en til den nye CMK-en, og ID-en til den gjeldende aktive CMK-en, hvis noen.

Hvis dette er din første CMK, er den aktive nøkkelen den vanlige Webex-standardnøkkelen (den vi bruker for øyeblikket til å kryptere organisasjonens nøkler).

9

Velg hvordan du vil aktivere nøkkelen:

  • Aktiver ny nøkkel: Den nye CMK går umiddelbart inn i aktiv tilstand. Den tidligere aktive CMK går inn i rotasjon (ny krypteringstilstand) til alt innholdet ditt er beskyttet av den nye CMK, og deretter sletter Webex den tidligere aktive CMK-en.
  • Aktiver senere: Den nye CMK flytter inn i Ventende tilstand. Webex beholder denne CMK i HSM, men bruker den ennå ikke. Webex fortsetter å bruke den aktive CMK-en til å kryptere organisasjonens nøkler.

Hva du skal gjøre nå

Vi krypterer ikke alt eksisterende innhold med tilbakevirkende kraft. Når du aktiverer CMK, blir alt nytt innhold (områder og møter) kryptert og beskyttet på nytt.
Rød nøkkelen
1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkeladministrasjon.

3

Gå til aktiv CMK.

4

Klikk Mer meny og velg Rød.

5

Opprett og krypter en ny nøkkel (hvis du ikke har gjort det ennå).

Prosessen er beskrevet i Opprett og aktiver kundens hovednøkkel i denne artikkelen.
6

Dra den nye nøkkelen fra filsystemet og slipp den i Control Hub.

7

Klikk på Aktiver ny nøkkel.

Den nye nøkkelen du lastet opp, går inn i aktiv tilstand.

Den gamle CMK forblir i rotasjon (ny krypteringstilstand) til Webex er ferdig med å kryptere alt innhold med den nye aktive CMK. Etter at nøkkelen er kryptert på nytt, flyttes den til Avviklet tilstand. Webex sletter deretter den gamle CMK-en.

Tilbakekall nøkkelen din
1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkeladministrasjon.

3

Gå til aktiv nøkkel.

4

Klikk Mer meny og velg Tilbakekall.

5

Bekreft tilbakekallingen av nøkkelen.

Det kan ta opptil 10 minutter å tilbakekalle nøkkelen din fullstendig.
Aktiver den tilbakekalte nøkkelen på nytt
1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkeladministrasjon.

3

Gå til den nåværende tilbakekalte nøkkelen.

4

Klikk Mer meny og velg Aktiver.

5

Bekreft nøkkelaktiveringen.

Den tidligere tilbakekalte nøkkelen går inn i aktiv tilstand.
Slett den tilbakekalte nøkkelen
1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkeladministrasjon.

3

Gå til den tilbakekalte nøkkelen.

4

Klikk Mer meny og velg Slett.

5

Bekreft slettingen av nøkkelen.

Når den er slettet, har du muligheten til å gjenopprette nøkkelen innen 30 dager.
Gjenopprett den tilbakekalte nøkkelen
1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkeladministrasjon.

3

Gå til den slettede nøkkelen.

4

Klikk Mer meny og velg Angre sletting.

5

Bekreft nøkkelgjenopprettingen.

Når den er gjenopprettet, viser Control Hub deg nøkkelen i tilstanden Tilbakekalt før den ble slettet. Hvis du for eksempel sletter en tilbakekalt nøkkel og deretter gjenoppretter nøkkelen, viser Control Hub den gjenopprettede nøkkelen i tilstanden Tilbakekalt.

Krav

Eierskap

Ved å eie AWS KMS-nøkkelen må du:

  • Ta ansvar for sikker oppretting og sikkerhetskopiering av AWS KMS-nøklene.
  • Forstå konsekvensene av å miste AWS KMS-nøklene.
  • Krypter din aktive AMS KMS-nøkkel på nytt minst én gang i året som beste praksis.

Autorisasjon

  • Du må ha tillatelse til å opprette og administrere nøklene dine i AWS KMS for Webex-organisasjonen din.
  • Du må ha tilgang til Webex-organisasjonen din i Control Hub. Du må være en fullverdig administrator for å administrere AWS KMS-nøkkelen.
Opprett en AWS KMS-nøkkel
1

Logg på AWS og gå til AWS KMS-konsollen.

2

Velg Kundeadministrerte nøkler , og klikk deretter på Opprett nøkkel.

3

Opprett nøkkelen med følgende attributter:

  • Nøkkeltype – velg Symmetrisk.
  • Nøkkelbruk – velg Krypter og dekrypter.
  • Etiketter – Skriv inn alias, beskrivelse og koder.
  • Nøkkeladministratorer – Velg organisasjonens nøkkeladministratorbrukere og -roller.
  • Nøkkelsletting – merk av for Tillat nøkkeladministratorer å slette denne nøkkelen.
  • Nøkkelbrukere – Velg organisasjonens nøkkelbrukere og roller.
4

Klikk Neste.

5

Se gjennom innstillingene og klikk Fullfør.

Din AWS KMS-nøkkel er opprettet.
6

Gå til Kundeadministrerte nøkler og klikk på Alias ​​eller Key ID for å se ARN.

Hva du skal gjøre videre

Vi anbefaler at du beholder en midlertidig kopi av ARN. Denne ARN brukes til å legge til og aktivere din AWS KMS-nøkkel i Control Hub.

Autoriser Cisco KMS med tilgang til AWS KMS-nøkkelen
1

Logg på AWS og gå til AWS CloudShell-konsollen.

2

Løp skape-tilskudd å autorisere Webex som følger:

aws kms create-grant \ --name {UNIQUE_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWS_KMS Key} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
For example: 
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
De KMS_CISCO_USER_ARN er spesifikk for din organisasjon. ARN-en vises i vinduet Legg til din AWS-nøkkel når du aktiverer din nye AWK KMS-nøkkel i Control Hub.
Legg til og aktiver AWS KMS-nøkkelen din

Før du begynner

Du må opprette en AWS KMS-nøkkel før du aktiverer den i Control Hub. Referer til Opprett en AWS KMS-nøkkel i denne artikkelen.

Du må gi Webex tilgang til AWS KMS-nøkkelen. Se Autoriser Cisco KMS med tilgang til AWS KMS-nøkkelen i denne artikkelen.

1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkelledelse, og veksle Ta med din egen nøkkel (BYOK) på.

Hvis du deaktiverer BYOK, vil Webex vanlig standardnøkkel blir hovednøkkelen for organisasjonen din.

3

Velge Legg til AWS KMS-nøkkel og klikk Neste.

4

Få ARN fra AWS-konsollen.

5

Skriv inn ARN i Control Hub og klikk Legge til.

Nøkkel-ARN-en din lastes opp til Cisco KMS, hvor tilgangen til nøkkelen valideres. Deretter viser Control Hub deg Cisco KMS-nøkkel-ID-en til din nye AWS KMS-nøkkel, og den for øyeblikket aktive Cisco KMS-nøkkel-ID-en, hvis noen.

Hvis dette er din første AWS KMS-nøkkel, er den aktive nøkkelen Webex vanlig standardnøkkel (den vi bruker for å kryptere organisasjonens nøkler).

6

Velg hvordan du vil aktivere nøkkelen din:

  • Aktiver: Den nye AWS KMS-nøkkelen går umiddelbart inn i aktiv tilstand.
  • Aktiver senere: Den nye AWS KMS-nøkkelen flyttes til Ventende tilstand. Webex beholder denne AWS KMS-nøkkelen ARN i Cisco KMS, men bruker den ikke ennå. Webex fortsetter å bruke den aktive AWS KMS-nøkkelen for å kryptere organisasjonens nøkler.
Roter AWS KMS-nøkkelen
1

Logg på Control Hub, og gå til Organisasjonsinnstillinger > Nøkkelledelse.

2

Gå til den aktive AWS KMS-nøkkelen.

3

Klikk More menu og velg Rotate.

4

Skriv inn din nye AWS KMS-nøkkel og nye ARN og klikk Legge til.

Prosessen er beskrevet i Legg til og aktiver AMS KMS-nøkkelen din i denne artikkelen.
5

Klikk Aktiver.

Den nye AWS KMS-nøkkelen du lastet opp går inn i aktiv tilstand.

Den gamle AWS KMS-nøkkelen forblir i roterende tilstand til Webex er ferdig med å kryptere alt innholdet med den nye Active AWS KMS-nøkkelen. Etter omkryptering forsvinner den gamle AWS KMS-nøkkelen automatisk fra Control Hub.

Roter for å legge til en annen AWS KMS-nøkkel (valgfritt)
1

Logg på Control Hub, og gå til Organisasjonsinnstillinger > Nøkkelledelse.

2

Klikk Legg til en annen nøkkel.

3

Skriv inn din nye AWS KMS-nøkkel og klikk Legge til.

Control Hub viser deg Cisco KMS-nøkkel-ID-en til din nye AWS KMS-nøkkel, og ID-en til den for øyeblikket aktive Cisco KMS-nøkkel-ID-en.

Prosessen er beskrevet i Legg til og aktiver AMS KMS-nøkkelen din i denne artikkelen.

4

Klikk Aktiver.

Den nye AWS KMS-nøkkelen du lastet opp går inn i aktiv tilstand.

Den gamle AWS KMS-nøkkelen forblir i roterende tilstand til Webex er ferdig med å kryptere alt innholdet med den nye Active AWS KMS-nøkkelen. Etter omkryptering forsvinner den gamle AWS KMS-nøkkelen automatisk fra Control Hub.

Tilbakekall AWS KMS-nøkkelen din
1

Logg på Control Hub, and go to Organisasjonsinnstillinger > Key Management.

2

Gå til den aktive AWS KMS-nøkkelen.

3

Klikk More menu og velg Oppheve lokalt.

4

Bekreft tilbakekallingen av nøkkelen.

Det kan ta opptil 10 minutter å tilbakekalle nøkkelen fullstendig. AWS KMS-nøkkelen går inn i tilstanden Lokalt opphevet.

Hvis kundeadministratoren din tilbakekaller nøkkelen fra AWS KMS-konsollen, vises AWS KMS-nøkkelen i Revoked by Amazon-tilstanden i Control Hub.

Slett AWS KMS-nøkkelen din
1

Logg på Control Hub, og gå til Organisasjonsinnstillinger > Nøkkelledelse.

2

Gå til den tilbakekalte AWS KMS-nøkkelen.

3

Klikk More menu og velg Slett.

4

Bekreft slettingen av nøkkelen.

Når den er slettet, kan du gjenopprette nøkkelen innen 30 dager.

Vi anbefaler at du sletter AWS KMS-nøkkelen fra Control Hub først før du sletter CMK fra AWS-konsollen. Hvis du sletter CMK fra AWS-konsollen før du sletter AWS KMS-nøkkelen i Control Hub, kan du få problemer.

Sørg for at AWS KMS-nøkkelen ikke lenger er synlig i Control Hub før du sletter CMK fra AWS-konsollen.

Gjenopprett AWS KMS-nøkkelen din
1

Logg på Control Hub, og gå til Organisasjonsinnstillinger > Nøkkelledelse.

2

Gå til den slettede AWS KMS-nøkkelen.

3

Klikk More menu og velg Angre sletting.

4

Bekreft nøkkelgjenopprettingen.

Når den er gjenopprettet, viser Control Hub deg nøkkelen i tilbakekalt tilstand.

Feilsøk AWS KMS-nøkkelen din

Hvis du får problemer med AWS KMS-nøkkelen din, bruk følgende informasjon for å feilsøke den.

  • AWS KMS nøkkel ARN. For eksempel arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Grants på AWS KMS-nøkkelen.

  • AWS KMS nøkkeltilstand. For eksempel er AWS KMS-nøkkelen deaktivert.

Eksempel: Opprett og krypter nøkler med OpenSSL

Dette eksemplet bruker versjon 3.0 av OpenSSL-kommandolinjeverktøyene. Se OpenSSL for mer om disse verktøyene.

1

Logg på Control Hub.

2

Gå til Organisasjonsinnstillinger > Nøkkelledelse.

3

Klikk Last ned offentlig nøkkel.

Du får den offentlige Webex HSM-nøkkelen i en .pem-fil på ditt lokale system.

4

Lag en 256-biters (32 byte) nøkkel: openssl rand -ut hovednøkkel.bin 32.

Eksemplet bruker filnavnet hovednøkkel.bin for din ukrypterte nye nøkkel.

Alternativt kan du generere en 32-byte tilfeldig verdi ved å bruke Hex dump, Python eller online generatorer. Du kan også opprette og administrere AWS KMS-nøkkelen din.

5

Bruk den offentlige Webex HSM-nøkkelen til å kryptere den nye nøkkelen din:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Eksemplet bruker filnavnet main_key_encrypted.bin for den krypterte utdatanøkkelen og filnavnet path/to/public.pem for den offentlige Webex-nøkkelen.

Den krypterte nøkkelen er klar for opplasting til Control Hub.

Relatert lesing