Zarządzaj własnym kluczem głównym klienta

Klucze główne klienta

W ramach naszego zaangażowania w kompleksowe zabezpieczenia Webex przechowuje klucz główny w imieniu każdej organizacji. Nazywamy go kluczem głównym, ponieważ nie szyfruje on zawartości bezpośrednio, ale służy do szyfrowania innych kluczy organizacji, które szyfrują zawartość. Podstawowy poziom hierarchii kluczy jest nazywany kluczem zawartości (CK), a poziomy pośrednie kluczy są nazywane kluczami szyfrowania klucza (KEK).

Zdajemy sobie sprawę, że niektóre organizacje wolą zarządzać własnymi zabezpieczeniami, dlatego dajemy Ci możliwość zarządzania własnym kluczem głównym klienta (CMK). Oznacza to, że ponosisz odpowiedzialność za tworzenie i obracanie (ponowne szyfrowanie) klucza głównego używanego przez Webex do szyfrowania kluczy szyfrowania zawartości.

Idąc dalej, klucz odwołuje się do CMK, chyba że określono inaczej.

Jak to działa

Webex przechowuje CMK w sprzętowym module zabezpieczeń (HSM), dzięki czemu usługi Webex nie mają dostępu do wartości CMK.
Control Hub pokazuje aktualnie aktywne lub odwołane CMK i wszystkie oczekujące CMK, które są przechowywane w HSM. Gdy musisz obrócić (ponownie zaszyfrować) CMK, generujesz swój nowy CMK i szyfrujesz go kluczem publicznym HSM, aby tylko HSM mógł go odszyfrować i przechowywać.
Następnie prześlij i aktywuj nowy CMK w Control Hub. Webex natychmiast zaczyna używać nowego CMK do szyfrowania kluczy treści. Webex zachowuje stary zestaw CMK, ale tylko do momentu upewnienia się, że klucze szyfrowania treści są zabezpieczone przez nowy zestaw CMK.

Nie szyfrujemy wstecznie wszystkich istniejących treści. Po aktywacji CMK wszystkie nowe treści (Obszary i Spotkania) są ponownie szyfrowane i chronione.

O kluczach AWS KMS

Zdajemy sobie sprawę, że niektóre organizacje wolą zarządzać własnym kluczem poza Webex. Dlatego dajemy Ci możliwość zarządzania własnym CMK w Amazon Web Services (AWS) Key Management Service (KMS). Oznacza to, że jesteś odpowiedzialny za zarządzanie kluczami w AWS KMS. Upoważniasz aplikację Webex do szyfrowania i odszyfrowywania przy użyciu klucza AWS KMS za pośrednictwem konsoli AWS. Przekazujesz Webex identyfikator klucza AWS KMS zamiast CMK. Oznacza to, że bierzesz odpowiedzialność za tworzenie i obracanie (ponowne szyfrowanie) klucza AWS KMS używanego przez Webex do szyfrowania kluczy szyfrowania zawartości w chmurze.

Jak to działa

Utwórz klucz za pomocą AWS. AWS KMS służy do zarządzania kluczem i zapisywania go w module bezpieczeństwa sprzętu (HSM).
Użytkownik Webex ma dostęp do korzystania z klucza AWS KMS za pośrednictwem konsoli AWS.

Oznacza to, że zamiast przesyłać CMK do Control Hub, zapewniasz Webex dostęp do klucza AWS KMS. Klucz AWS KMS nie opuszcza aplikacji AWS KMS, a usługi Webex nie mają dostępu do kluczowych materiałów AWS KMS.

Control Hub wyświetla obecnie aktywny lub cofnięty klucz AWS KMS i wszystkie oczekujące klucze AWS KMS, które są przechowywane w AWS KMS. Gdy zachodzi potrzeba obrócenia klucza AWS KMS, nowy klucz AWS KMS jest generowany za pomocą konsoli AWS KMS.
Następnie należy dodać i aktywować nowy klucz AWS KMS w Control Hub, zapewniając mu nazwę zasobów Amazon (ARN) nowego klucza AWS KMS. Webex natychmiast rozpoczyna korzystanie z nowego klawisza AWS KMS do szyfrowania kluczy zawartości. Aplikacja Webex nie wymaga już starego klucza AWS KMS. Stary klucz AWS KMS zniknie z Control Hub po tym, jak klucze szyfrowania zawartości zostaną obrócone i zabezpieczone przez nowy klucz AWS KMS. Webex nie usuwa klucza AWS KMS z AWS KMS. Administrator klienta może usunąć klucz z AWS KMS.

Kluczowe stany i cykl życia

Cykl życia klucza

Definicje stanów kluczowych

Oczekująca

Klucz w tym stanie jest przechowywany w module HSM, ale nie jest jeszcze używany do szyfrowania. Webex nie używa tej komendy CMK do szyfrowania.

W tym stanie może znajdować się tylko jeden klucz.

Aktywny

Webex używa obecnie tego narzędzia CMK do szyfrowania innych kluczy dla Twojej organizacji.

W tym stanie może znajdować się tylko jeden klucz.

Obrót

Webex tymczasowo używa tego CMK. Webex potrzebuje go do odszyfrowania danych i kluczy, które były wcześniej zaszyfrowane za pomocą tego klucza. Ten klucz jest wycofany, gdy rotacja (ponowne szyfrowanie) jest zakończona.

Wiele klawiszy może znajdować się w tym stanie, jeśli nowy klawisz zostanie aktywowany przed zakończeniem obracania.

Emerytowany

Webex nie używa tego CMK. Ten klucz nie jest już używany do szyfrowania. Ustawiony zostaje czas wygaśnięcia klucza, po którym klucz jest usuwany z modułu HSM.

Unieważniono

Webex nie używa tego CMK. Nawet jeśli istnieją dane i klucze, które zostały zaszyfrowane za pomocą tego klucza, Webex nie może go użyć do odszyfrowania danych i kluczy.

Aktywny klucz musisz unieważnić tylko wtedy, gdy podejrzewasz, że został naruszony. Jest to poważna decyzja, ponieważ uniemożliwia prawidłowe działanie wielu operacji. Na przykład nie będzie można tworzyć nowych obszarów i nie będzie można odszyfrować żadnej zawartości w kliencie Webex .
W tym stanie może znajdować się tylko jeden klucz. Należy ponownie aktywować ten klucz, aby obrócić (ponownie zaszyfrować) nowy klucz.
Ten CMK można usunąć, ale nie trzeba go usuwać. Po stwierdzeniu domniemanego naruszenia bezpieczeństwa można zachować go do odszyfrowania / przeszyfrowania.

Usunięto

Webex nie używa tego CMK. Zachowanie w tym stanie jest takie samo jak w stanie unieważnionym, z tą różnicą, że ustawiany jest czas wygaśnięcia klucza, po którym klucz jest usuwany z modułu HSM.

Jeśli usunięta CMK przejdzie do stanu Usunięte, musisz odzyskać oryginalny klucz, aby przywrócić funkcjonalność w organizacji.

Zalecamy zachowanie kopii zapasowej oryginalnego klucza, w przeciwnym razie organizacja przestanie działać.

Usunięte

To jest stan logiczny. Webex nie ma tego CMK przechowywanego w HSM. Nie jest wyświetlany w Control Hub.

Wymagania

Własność

Przejmując na własność swoją usługę CMK, musisz:

Wzięcia odpowiedzialności za bezpieczne tworzenie i tworzenie kopii zapasowych kluczy
Zrozum konsekwencje utraty kluczy
Przeszyfrowanie aktywnego CMK co najmniej raz w roku jako najlepsza praktyka

Tworzenie klucza

Należy utworzyć własny CMK przy użyciu tych parametrów. Twój klucz musi być:

Długość 256 bitów (32 bajty)
Szyfrowane przy użyciu schematu RSA-OAEP
Szyfrowanie za pomocą klucza publicznego Webex Cloud HSM

Oprogramowanie do generowania kluczy musi być w stanie:

Funkcja skrótu SHA-256
Funkcja generowania maski MGF1
Wypełnienie PKCS#1 OAEP

Patrz Przykład: Tworzenie i szyfrowanie kluczy za pomocą OpenSSL na karcie Zasoby w tym artykule.

Autoryzacja

Musisz mieć dostęp do swojej organizacji Webex w Control Hub. Musisz być pełny administrator do zarządzania CMK.

Utwórz i aktywuj klucz główny klienta

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami . Aby włączyć funkcję BYOK, przełącz Przynieś własny klucz (BYOK) włączone. Jeśli wyłączysz BYOK, Wspólny domyślny klawisz Webex staje się głównym kluczem dla Twojej organizacji.
3	Wybierz Prześlij niestandardowy klucz i kliknij Dalej.
4	Kliknij Pobierz klucz publiczny . Zapisz klucz publiczny Webex HSM w pliku .pem w systemie lokalnym.
5	Utwórz kryptograficznie bezpieczny 256-bitowy (32-bajtowy) losowy klucz za pomocą oprogramowania do zarządzania kluczami.
6	Użyj klucza publicznego Webex HSM, aby zaszyfrować nowy klucz. Wymagane parametry szyfrowania to: Schemat RSA-OAEP Funkcja skrótu SHA-256 Funkcja generowania maski MGF1 Wypełnienie PKCS#1 OAEP Patrz Przykład: Tworzenie i szyfrowanie kluczy za pomocą OpenSSL na karcie Zasoby w tym artykule.
7	Przeciągnij zaszyfrowany klucz z systemu plików i upuść go w obszarze przesyłania interfejsu Control Hub lub kliknij Wybierz plik .
8	Kliknij przycisk Dalej. Webex przesyła klucz do modułu HSM, gdzie zostaje odszyfrowany i zweryfikowany. Następnie Control Hub wyświetla identyfikator nowego CMK oraz identyfikator aktualnie aktywnego CMK, jeśli istnieje. Jeśli jest to Twój pierwszy CMK, aktualnie aktywnym kluczem jest Wspólny domyślny klawisz Webex (ten, którego obecnie używamy do szyfrowania kluczy organizacji).
9	Wybierz sposób aktywacji klucza: Aktywuj nowy klucz : Nowy CMK natychmiast przechodzi w stan Aktywny. Wcześniej aktywny CMK przechodzi do stanu Rotation (przeszyfrowanie), dopóki cała zawartość nie będzie chroniona przez nowy CMK, po którym Webex usunie wcześniej aktywny CMK. Aktywuj później : Nowy CMK przechodzi w stan oczekiwania. Webex przechowuje tę CMK w HSM, ale jeszcze jej nie używa. Webex nadal używa aktualnie aktywnego CMK do szyfrowania kluczy organizacji.

Co zrobić dalej

Nie szyfrujemy wstecznie wszystkich istniejących treści. Po aktywacji CMK wszystkie nowe treści (Obszary i Spotkania) zostaną ponownie zaszyfrowane i zabezpieczone.

Obróć klucz

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami .
3	Przejdź do aktywnego CMK.
4	Kliknij i wybierz opcję Obróć.
5	Utwórz i zaszyfruj nowy klucz (jeśli jeszcze tego nie zrobiłeś). Proces opisano w Utwórz i aktywuj klucz główny klienta w tym artykule.
6	Przeciągnij nowy klucz z systemu plików i upuść go w Control Hub.
7	Kliknij Aktywuj nowy klucz . Przesłany nowy klucz przechodzi w stan Aktywny. Stare CMK pozostaje w obrocie (stan ponownego szyfrowania), dopóki Webex nie zakończy szyfrowania całej zawartości nowym aktywnym CMK. Po ponownym zaszyfrowaniu klucz przenosi się do stanu emerytalnego. Następnie Webex usuwa stary CMK.

Unieważnij swój klucz

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami .
3	Przejdź do aktywnego klawisza.
4	Kliknij i wybierz opcję Odśwież.
5	Potwierdź odwołanie klucza. Może to trwać do 10 minut, aby w pełni odwołać klucz.

Ponownie aktywuj unieważniony klucz

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami .
3	Przejdź do aktualnie cofniętego klawisza.
4	Kliknij i wybierz opcję Aktywuj.
5	Potwierdź aktywację klucza. Poprzednio unieważniony klucz przechodzi w stan Aktywny.

Usuń unieważniony klucz

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami .
3	Przejdź do cofniętego klucza.
4	Kliknij i wybierz opcję Usuń.
5	Potwierdź usunięcie klucza. Po usunięciu możesz przywrócić klucz w ciągu 30 dni.

Przywróć odwołany klucz

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami .
3	Przejdź do usuniętego klucza.
4	Kliknij i wybierz opcję Usuń.
5	Potwierdź przywrócenie klucza. Po przywróceniu Control Hub wyświetli klucz w stanie Odwołanym przed jego usunięciem. Na przykład, jeśli usuniesz cofnięty klucz, a następnie przywrócisz klucz, Control Hub wyświetli przywrócony klucz w stanie cofniętym.

Wymagania

Własność

Przejmując odpowiedzialność za klucz AWS KMS, należy:

Weź odpowiedzialność za bezpieczne tworzenie i tworzenie kopii zapasowych kluczy AWS KMS.
Zrozum konsekwencje utraty kluczy AWS KMS.
Przeszyfruj ponownie swój aktywny klucz AMS KMS co najmniej raz w roku jako najlepszą praktykę.

Autoryzacja

Musisz być upoważniony do tworzenia kluczy w AWS KMS dla swojej organizacji Webex i zarządzania nimi.
Musisz mieć dostęp do swojej organizacji Webex w Control Hub. Aby zarządzać kluczem AWS KMS, musisz być administratorem pełnym.

Utwórz klucz AWS KMS

1	Zaloguj się do AWS i przejdź do konsoli AWS KMS.
2	Wybierz klucze zarządzane przez klienta, a następnie kliknij przycisk Utwórz klucz.
3	Utwórz klucz za pomocą następujących atrybutów: Typ klawisza — wybierz opcję Symmetryczna. Użycie klucza — wybierz opcję Szyfrowanie i odszyfrowywanie. Etykiety — wprowadź aliasy, opis i znaczniki. Kluczowi administratorzy — wybierz użytkowników i role administratora w Twojej organizacji. Usuwanie klucza — zaznacz opcję Zezwalaj administratorom kluczy na usunięcie tego klucza. Kluczowi użytkownicy — wybierz kluczowych użytkowników i role swojej organizacji.
4	Kliknij przycisk Dalej.
5	Przejrzyj ustawienia i kliknij przycisk Zakończ. Utworzono klucz AWS KMS.
6	Przejdź do kluczy zarządzanych przez klienta i kliknij Alias lub identyfikator klucza, aby wyświetlić ARN.

Co zrobić dalej

Zalecamy zachowanie tymczasowej kopii ARN. Ten ARN służy do dodawania i aktywowania klucza AWS KMS w Control Hub.

Autoryzuj Cisco KMS z dostępem do klucza AWS KMS

Zaloguj się do AWS i przejdź do konsoli AWS CloudShell.

Uruchom create-grant aby zezwolić Webex w następujący sposób:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Na przykład:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Plik KMS_CISCO_USER_ARN jest specyficzny dla Twojej organizacji. ARN jest wyświetlany w oknie Dodaj klucz AWS podczas aktywacji nowego klawisza AWK KMS w Control Hub.

Dodaj i aktywuj klucz AWS KMS

Przed rozpoczęciem

Przed aktywacją w Control Hub należy utworzyć klucz AWS KMS. Zapoznaj się z Utwórz klucz AWS KMS w tym artykule.

Należy zapewnić Webex dostęp do klucza AWS KMS. W tym artykule należy zapoznać się z Autoryzacją Cisco KMS z dostępem do klucza AWS KMS.

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami i włącz opcję Przynieś własny klucz (BYOK). Jeśli wyłączysz BYOK, Wspólny domyślny klawisz Webex staje się głównym kluczem dla Twojej organizacji.
3	Wybierz Dodaj klawisz AWS KMS i kliknij Dalej.
4	Pobierz ARN z konsoli AWS.
5	Wprowadź ARN w Control Hub i kliknij przycisk Dodaj. Klucz ARN jest przesyłany do Cisco KMS, gdzie dostęp do klucza jest sprawdzany. Następnie Control Hub wyświetli identyfikator klucza Cisco KMS nowego klawisza AWS KMS oraz aktualnie aktywny identyfikator klucza Cisco KMS, jeśli istnieje. Jeśli jest to Twój pierwszy klucz AWS KMS, obecnie aktywnym kluczem jest wspólny klucz domyślny Webex (ten, którego obecnie używamy do szyfrowania kluczy Twojej organizacji).
6	Wybierz sposób aktywacji klucza: Aktywuj: Nowy klawisz AWS KMS natychmiast przechodzi w stan Aktywny. Aktywuj później : Nowy klucz AWS KMS przechodzi do stanu Oczekującego. Webex utrzymuje ten klucz AWS KMS W Cisco KMS, ale jeszcze go nie używa. Webex nadal używa obecnie aktywnego klawisza AWS KMS do szyfrowania kluczy Twojej organizacji.

Obróć klucz AWS KMS

1	Zaloguj się do Control Hub i przejdź do Ustawienia organizacji > Zarządzanie kluczami.
2	Przejdź do aktywnego klawisza AWS KMS.
3	Kliknij i wybierz opcję Obróć.
4	Wprowadź nowy klucz AWS KMS i nowe ARN i kliknij przycisk Dodaj. Proces ten jest opisany w punkcie Dodaj i aktywuj klucz AMS KMS w tym artykule.
5	Kliknij przycisk Aktywuj. Nowy klucz AWS KMS, który został przesłany, przechodzi do stanu aktywnego. Stary klucz AWS KMS pozostaje w stanie Obrotowym, dopóki Webex nie zakończy szyfrowania całej zawartości nowym aktywnym kluczem AWS KMS. Po ponownym zaszyfrowaniu stary klawisz AWS KMS automatycznie znika z Control Hub.

Obróć, aby dodać kolejny klucz AWS KMS (opcjonalnie)

1	Zaloguj się do Control Hub i przejdź do Ustawienia organizacji > Zarządzanie kluczami.
2	Kliknij przycisk Dodaj inny klucz.
3	Wprowadź nowy klucz AWS KMS i kliknij przycisk Dodaj. Control Hub wyświetla identyfikator klucza Cisco KMS nowego klawisza AWS KMS oraz identyfikator aktualnie aktywnego identyfikatora klucza Cisco KMS. Proces ten jest opisany w punkcie Dodaj i aktywuj klucz AMS KMS w tym artykule.
4	Kliknij przycisk Aktywuj. Nowy klucz AWS KMS, który został przesłany, przechodzi do stanu aktywnego. Stary klucz AWS KMS pozostaje w stanie Obrotowym, dopóki Webex nie zakończy szyfrowania całej zawartości nowym aktywnym kluczem AWS KMS. Po ponownym zaszyfrowaniu stary klawisz AWS KMS automatycznie znika z Control Hub.

Przywróć klucz AWS KMS

1	Zaloguj się do Control Hub i przejdź do Ustawienia organizacji > Zarządzanie kluczami.
2	Przejdź do aktualnie aktywnego klawisza AWS KMS.
3	Kliknij i wybierz opcję Lokalne odwołanie.
4	Potwierdź odwołanie klucza. Może to trwać do 10 minut, aby w pełni odwołać klucz. Klawisz AWS KMS przechodzi do stanu Lokalnie odwołanego.

Jeśli administrator klienta cofnie klucz z konsoli AWS KMS, wówczas klucz AWS KMS jest wyświetlany w stanie Odwołany przez Amazon w Control Hub.

Usuń klucz AWS KMS

1	Zaloguj się do Control Hub i przejdź do Ustawienia organizacji > Zarządzanie kluczami.
2	Przejdź do cofniętego klawisza AWS KMS.
3	Kliknij i wybierz opcję Usuń.
4	Potwierdź usunięcie klucza. Po usunięciu możesz odzyskać klucz w ciągu 30 dni.

Zalecamy usunięcie klucza AWS KMS z Control Hub przed usunięciem CMK z konsoli AWS. Jeśli usuniesz CMK z konsoli AWS przed usunięciem klucza AWS KMS w Control Hub, możesz napotkać problemy.

Upewnij się, że klucz AWS KMS nie jest już widoczny w Control Hub przed usunięciem CMK z konsoli AWS.

Przywróć klucz AWS KMS

1	Zaloguj się do Control Hub i przejdź do Ustawienia organizacji > Zarządzanie kluczami.
2	Przejdź do usuniętego klawisza AWS KMS.
3	Kliknij i wybierz opcję Usuń.
4	Potwierdź przywrócenie klucza. Po przywróceniu Control Hub wyświetli klucz w stanie cofniętym.

Rozwiązywanie problemów z kluczem AWS KMS

Jeśli napotkasz problemy z kluczem AWS KMS, użyj następujących informacji, aby je rozwiązać.

Klucz AWS KMS ARN. Na przykład: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Dotacje na klucz AWS KMS.
Stan klucza AWS KMS. Na przykład klucz AWS KMS jest wyłączony.

Przykład: Tworzenie i szyfrowanie kluczy za pomocą OpenSSL

W tym przykładzie użyto wersji 3.0 narzędzi wiersza polecenia OpenSSL. Zobacz OpenSSL aby uzyskać więcej informacji o tych narzędziach.

1	Zaloguj się do Centrum sterowania .
2	Przejdź do Ustawienia organizacji > Zarządzanie kluczami .
3	Kliknij Pobierz klucz publiczny . Klucz publiczny Webex HSM jest pobierany w pliku .pem w systemie lokalnym.
4	Utwórz klucz 256-bitowy (32-bajtowy): `openssl rand 32 -out main_key.bin` W przykładzie użyto nazwy plikumain_key .bin dla nowego niezaszyfrowanego klucza.
5	Użyj klucza publicznego Webex HSM, aby zaszyfrować nowy klucz: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` W przykładzie użyto nazwy plikumain_key_encrypted .bin dla zaszyfrowanego klucza wyjściowego i nazwy pliku ścieżka/do/public.pem dla klucza publicznego Webex . Zaszyfrowany klucz jest gotowy do przesłania do Control Hub.