Informacje o kluczach głównych klienta

W ramach naszego zaangażowania w kompleksowe bezpieczeństwo Webex posiada klucz główny w imieniu każdej organizacji. Nazywamy go kluczem głównym, ponieważ nie szyfruje on zawartości bezpośrednio, ale jest używany do szyfrowania innych kluczy organizacji, które szyfrują zawartość. Podstawowy poziom hierarchii kluczy nosi nazwę klucza treści (CK), a pośrednie poziomy kluczy nazywane są kluczami szyfrowania klucza (KEK).

Zdajemy sobie sprawę, że niektóre organizacje wolą zarządzać własnymi zabezpieczeniami, dlatego dajemy Ci możliwość zarządzania własnym kluczem głównym klienta (CMK). Oznacza to, że bierzesz odpowiedzialność za utworzenie i obrócenie (ponowne szyfrowanie) klucza głównego używanego przez Webex do szyfrowania Twoich kluczy szyfrowania treści.

W przyszłości klucz odnosi się do CMK, chyba że określono inaczej.

Jak to działa

  1. Webex przechowuje CMK w module zabezpieczeń sprzętowych (HSM), aby usługi Webex nie miały dostępu do wartości CMK.

  2. Control Hub pokazuje obecnie aktywne lub odwołane CMK oraz wszystkie oczekujące CMK, które są przechowywane w HSM. Gdy trzeba obrócić (ponownie zaszyfrować) CMK, generujesz nowe CMK i zaszyfrujesz je kluczem publicznym HSM, dzięki czemu tylko HSM może go odszyfrować i przechowywać.

  3. Następnie prześlesz i aktywujesz nowy moduł CMK w Control Hub. Webex natychmiast zaczyna używać nowego CMK do szyfrowania kluczy treści. Webex zachowuje starą usługę CMK, ale tylko wtedy, gdy nie ma pewności, że klucze szyfrowania treści są zabezpieczone przez nową usługę CMK.

Nie szyfrujemy wstecz całej istniejącej zawartości. Po aktywowaniu CMK cała nowa zawartość (obszary i spotkania) zostanie ponownie zaszyfrowana i chroniona.
Informacje o kluczach AWS KMS

Rozpoznaliśmy, że niektóre organizacje wolą zarządzać własnym kluczem poza usługą Webex. Dlatego dajemy Ci możliwość zarządzania własnym CMK w usłudze zarządzania kluczami (KMS) Amazon Web Services (AWS). Oznacza to, że jesteś odpowiedzialny za zarządzanie kluczami w AWS KMS. Zezwalasz usłudze Webex na szyfrowanie i odszyfrowywanie przy użyciu klucza AWS KMS za pośrednictwem konsoli AWS. Podaj Webex swój identyfikator klucza KMS zamiast CMK. Oznacza to, że bierzesz odpowiedzialność za utworzenie i obrócenie (ponowne szyfrowanie) klucza AWS KMS używanego przez Webex do szyfrowania kluczy szyfrowania treści w chmurze.

Jak to działa

  1. Klucz można utworzyć przy użyciu AWS. Protokół AWS KMS służy do zarządzania kluczem i przechowuje klucz w module zabezpieczeń sprzętu (HSM).

  2. Zapewniasz Webex dostęp do korzystania z klucza AWS KMS za pośrednictwem konsoli AWS.

    Oznacza to, że zamiast przesłać CMK do Control Hub, zapewniasz Webex dostęp do klucza AWS KMS. Klucz AWS KMS nie opuszcza Twojego AWS KMS, a usługi Webex nie mają dostępu do materiału klucza AWS KMS.

    Control Hub pokazuje obecnie aktywny lub unieważniony klucz AWS KMS oraz wszystkie oczekujące klucze AWS KMS przechowywane w tym kluczu. Gdy trzeba obrócić klucz AWS KMS, generujesz nowy klucz AWS KMS za pomocą konsoli AWS KMS.

  3. Następnie należy dodać i aktywować nowy klucz AWS KMS w Control Hub, podając mu nazwę zasobu Amazon (ARN) nowego klucza AWS KMS. Webex natychmiast zaczyna używać nowego klucza AWS KMS do szyfrowania kluczy treści. Webex nie wymaga już starego klucza AWS KMS. Stary klucz AWS KMS zniknie z Control Hub po obróceniu kluczy szyfrowania zawartości i zabezpieczeniu go nowym kluczem AWS KMS. Webex nie usuwa klucza AWS KMS z AWS KMS. Administrator klienta może usunąć klucz z serwera AWS KMS.

Stany kluczowe i cykl życia

Cykl życia klucza

Definicje stanów klucza

Oczekujące

Klucz w tym stanie jest przechowywany w HSM, ale nie jest jeszcze używany do szyfrowania. Webex nie używa tego mechanizmu CMK do szyfrowania.

W tym stanie może być tylko jeden klucz.
Aktywny

Webex używa obecnie tego CMK do szyfrowania innych kluczy Twojej organizacji.

W tym stanie może być tylko jeden klucz.
Obrót

Webex tymczasowo korzysta z tego CMK. Webex potrzebuje go do odszyfrowania danych i kluczy, które zostały wcześniej zaszyfrowane przez ten klucz. Ten klucz zostanie wycofany po zakończeniu zmiany (ponownego szyfrowania).

Wiele klawiszy może być w tym stanie, jeśli nowy klucz zostanie aktywowany przed zakończeniem zmiany.
Usunięto

Webex nie korzysta z tego CMK. Ten klucz nie jest już używany do szyfrowania. Ustawia się czas wygaśnięcia klucza, po którym klucz ten zostanie usunięty z modułu HSM.

Odwołano

Webex nie korzysta z tego CMK. Nawet jeśli istnieją dane i klucze zaszyfrowane tym kluczem, usługa Webex nie może jej użyć do odszyfrowania danych i kluczy.

  • Wystarczy unieważnić aktywny klucz, jeśli podejrzewasz, że jest on zagrożony. Jest to poważna decyzja, ponieważ uniemożliwia ona prawidłowe zachowanie wielu operacji. Na przykład nie będzie można tworzyć nowych obszarów ani odszyfrować żadnej zawartości w kliencie Webex.
  • W tym stanie może być tylko jeden klucz. Należy ponownie aktywować ten klucz, aby zmienić nowy klucz (ponownie zaszyfrować).
  • To CMK można usunąć, ale nie trzeba go usuwać. Po rozwiązaniu podejrzewanego naruszenia bezpieczeństwa można je zachować do odszyfrowania / ponownego szyfrowania.
Usunięto

Webex nie korzysta z tego CMK. Zachowanie w tym stanie jest takie samo jak w przypadku stanu Unieważniony, z wyjątkiem tego, że ustawiono czas wygaśnięcia klucza, po czym klucz ten jest usuwany z modułu HSM.

  • Jeśli usunięta CMK przejdzie do stanu Usunięto, aby przywrócić funkcjonalność w organizacji, należy odzyskać oryginalny klucz.
  • Zalecamy zachowanie kopii zapasowej oryginalnego klucza, w przeciwnym razie Twoja organizacja przestanie działać.
Usunięty

Jest to stan logiczny. Webex nie ma tego CMK przechowywanego w systemie HSM. Nie jest wyświetlany w Control Hub.

Wymagania

Własność

Przejmując prawo własności CMK, należy:

  • Bierz odpowiedzialność za bezpieczne tworzenie i tworzenie kopii zapasowych kluczy
  • Zrozum konsekwencje utraty kluczy
  • Ponownie zaszyfruj aktywną usługę CMK co najmniej raz w roku, co stanowi najlepszą praktykę

Tworzenie klucza

Korzystając z tych parametrów, należy utworzyć własne CMK. Twój klucz musi być:

  • 32 bajty (256 bitów)
  • Szyfrowane przy użyciu schematu RSA-OAEP
  • Szyfrowane kluczem publicznym modułu Webex HSM w chmurze

Oprogramowanie do generowania klucza musi być w stanie:

  • Funkcja skrótu SHA-256
  • Funkcja generowania masek MGF1
  • PKCS nr 1 wyściółka OAEP

Zobacz Przykład: Utwórz i zaszyfruj klucze za pomocą OpenSSL na karcie Zasoby w tym artykule.

Autoryzacja

Musisz mieć dostęp do swojej organizacji Webex w Control Hub. Aby zarządzać usługą CMK, musisz być administratorem z pełnymi uprawnieniami .

Utwórz i aktywuj klucz główny klienta
1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

Aby włączyć funkcję BYOK, włącz przełącznik Przynieś własny klucz (BYOK) . Jeśli wyłączysz funkcję BYOK, wspólny klucz domyślny Webex staje się kluczem głównym w organizacji.

3

Wybierz opcję Prześlij klucz niestandardowy i kliknij przycisk Dalej.

4

Kliknij Pobierz klucz publiczny.

Zapisz klucz publiczny Webex HSM w pliku .pem w systemie lokalnym.

5

Utwórz kryptograficznie bezpieczny klucz losowy o długości 256-bitowym (32 bajty) przy użyciu oprogramowania do zarządzania kluczami.

6

Do zaszyfrowania nowego klucza użyj klucza publicznego Webex HSM.

Wymagane parametry szyfrowania:

  • Schemat RSA-OAEP
  • Funkcja skrótu SHA-256
  • Funkcja generowania masek MGF1
  • PKCS nr 1 wyściółka OAEP
Zobacz Przykład: Utwórz i zaszyfruj klucze za pomocą OpenSSL na karcie Zasoby w tym artykule.
7

Przeciągnij zaszyfrowany klucz z systemu plików i upuść go w obszarze przesyłania w interfejsie Control Hub lub kliknij opcję Wybierz plik.

8

Kliknij przycisk Dalej.

Webex przesyła Twój klucz do HSM, gdzie jest odszyfrowywany i weryfikowany. Następnie Control Hub pokazuje identyfikator nowego CMK i identyfikator obecnie aktywnego CMK, jeśli występują.

Jeśli jest to pierwszy klucz CMK, obecnie aktywnym kluczem jest wspólny klucz domyślny Webex (ten, którego obecnie używamy do szyfrowania kluczy Twojej organizacji).

9

Wybierz sposób aktywacji klucza:

  • Aktywuj nowy klucz: Nowy CMK natychmiast przechodzi do stanu Aktywny. Wcześniej aktywna usługa CMK przechodzi w stan Rotacja (Ponowne szyfrowanie), dopóki cała Twoja zawartość nie zostanie chroniona przez nową usługę CMK, po czym Webex usunie wcześniej aktywną usługę CMK.
  • Aktywuj później: Nowe CMK przenosi się do stanu oczekiwania. Webex przechowuje tę funkcję CMK w systemie HSM, ale jeszcze jej nie używa. Webex nadal używa obecnie aktywnego CMK do szyfrowania kluczy Twojej organizacji.

Co zrobić dalej

Nie szyfrujemy wstecz całej istniejącej zawartości. Po aktywowaniu CMK cała nowa zawartość (obszary i spotkania) zostanie ponownie zaszyfrowana i chroniona.
Obróć klucz
1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

3

Przejdź do aktywnej centrali CMK.

4

Kliknij Menu Więcej i wybierz Obróć.

5

Utwórz i zaszyfruj nowy klucz (jeśli jeszcze tego nie zrobiliście).

Proces opisano w tym artykule w części Tworzenie i aktywacja klucza głównego klienta .
6

Przeciągnij nowy klucz z systemu plików i upuść go w Control Hub.

7

Kliknij Aktywuj nowy klucz.

Nowy klucz, który został przesłany, zostanie zmieniony na Aktywny.

Stara usługa CMK pozostaje w stanie Rotacja (stan ponownego szyfrowania), dopóki usługa Webex nie zakończy szyfrowania całej swojej zawartości w nowej aktywnej usłudze CMK. Po ponownym zaszyfrowaniu klucz przejdzie do stanu Emerytowany. Webex następnie usuwa stary CMK.

Unieważnij klucz
1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

3

Przejdź do aktywnego klucza.

4

Kliknij Menu Więcej i wybierz Unieważnij.

5

Potwierdź unieważnienie klucza.

Pełne unieważnienie klucza może potrwać do 10 minut.
Ponownie aktywuj unieważniony klucz
1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

3

Przejdź do aktualnie unieważnionego klucza.

4

Kliknij Menu Więcej i wybierz Aktywuj.

5

Potwierdź aktywację klucza.

Wcześniej unieważniony klucz przejdzie do stanu Aktywny.
Usuń unieważniony klucz
1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

3

Przejdź do unieważnionego klucza.

4

Kliknij Menu Więcej i wybierz Usuń.

5

Potwierdź usunięcie klucza.

Po usunięciu klucz będzie można przywrócić w ciągu 30 dni.
Przywróć unieważniony klucz
1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

3

Przejdź do usuniętego klucza.

4

Kliknij Menu Więcej i wybierz Przywróć.

5

Potwierdź przywrócenie klucza.

Po przywróceniu klucz w Control Hub jest wyświetlany w stanie Unieważniono, zanim został on usunięty. Jeśli na przykład usuniesz unieważniony klucz, a następnie przywrócisz klucz, w Control Hub zostanie wyświetlony przywrócony klucz w stanie Unieważniony.

Wymagania

Własność

Przejmując własność klucza AWS KMS, należy:

  • Bierz odpowiedzialność za bezpieczne tworzenie i tworzenie kopii zapasowych kluczy AWS KMS.
  • Zrozum konsekwencje utraty kluczy AWS KMS.
  • Aby uzyskać najlepszą praktykę, zaszyfruj ponownie aktywny klucz AMS KMS co najmniej raz w roku.

Autoryzacja

  • Musisz mieć uprawnienia do tworzenia kluczy w AWS KMS w organizacji Webex i zarządzania nimi.
  • Musisz mieć dostęp do swojej organizacji Webex w Control Hub. Aby zarządzać kluczem AWS KMS, musisz być administratorem z pełnymi uprawnieniami .
Utwórz klucz AWS KMS
1

Zaloguj się do AWS i przejdź do konsoli AWS KMS.

2

Wybierz opcję Klucze zarządzane przez klienta , a następnie kliknij opcję Utwórz klucz.

3

Utwórz klucz z następującymi atrybutami:

  • Typ klucza — wybierz opcję Symetryczny.
  • Użycie klucza — wybierz opcję Szyfruj i odszyfrowuj.
  • Etykiety — wprowadź alias, opis i znaczniki.
  • Administratorzy klucza — wybierz użytkowników i role administratora klucza w organizacji.
  • Usuwanie klucza — zaznacz opcję Zezwalaj administratorom klucza na usunięcie tego klucza.
  • Kluczowi użytkownicy — wybierz kluczowych użytkowników i role w organizacji.
4

Kliknij przycisk Dalej.

5

Przejrzyj ustawienia i kliknij przycisk Zakończ.

Utworzono klucz AWS KMS.
6

Przejdź do pozycji Klucze zarządzane przez klienta i kliknij alias lub identyfikator klucza, aby wyświetlić nazwę ARN.

Co zrobić dalej

Zalecamy zachowanie tymczasowej kopii nazwy ARN. Ten ciąg ARN służy do dodawania i aktywowania klucza AWS KMS w Control Hub.

Autoryzuj serwer Cisco KMS z dostępem do klucza AWS KMS
1

Zaloguj się do AWS i przejdź do konsoli AWS CloudShell.

2

Uruchom tworzenie-przyznawanie , aby autoryzować Webex w następujący sposób:

aws kms create-grant \ --name {UNIQUE_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWS_Klucz KMS} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Na przykład: 
aws kms create-grant \ --nazwa Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx \ --operacje Szyfrowanie odszyfrowywanie DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
Nazwa ARN UŻYTKOWNIKA KMS_CISCO___ jest specyficzna dla Twojej organizacji. Podczas aktywowania nowego klucza AWK KMS w Control Hub nazwa ARN jest wyświetlana w oknie Dodaj klucz AWS.
Dodaj i aktywuj klucz AWS KMS

Przed rozpoczęciem

Przed aktywowaniem klucza AWS KMS w Control Hub należy go utworzyć. Zobacz Tworzenie klucza AWS KMS w tym artykule.

Należy zapewnić usłudze Webex dostęp do klucza AWS KMS. Zobacz Autoryzuj serwer Cisco KMS z dostępem do klucza AWS KMS w tym artykule.

1

Zaloguj się do centrum sterowania.

2

Przejdź do pozycji Ustawienia organizacji > Zarządzanie kluczami i włącz opcję Przynieś własny klucz (BYOK) .

Jeśli wyłączysz funkcję BYOK, wspólny klucz domyślny Webex staje się kluczem głównym w organizacji.

3

Wybierz opcję Dodaj klucz AWS KMS i kliknij przycisk Dalej.

4

Pobierz nazwę ARN z konsoli AWS.

5

Wprowadź nazwę ARN w Control Hub i kliknij przycisk Dodaj.

Nazwa ARN klucza zostanie przesłana do serwera Cisco KMS, gdzie sprawdzany jest dostęp do klucza. Następnie Control Hub pokazuje identyfikator klucza KMS Cisco dla nowego klucza AWS KMS oraz obecnie aktywny identyfikator klucza KMS Cisco, jeśli jest dostępny.

Jeśli jest to pierwszy klucz AWS KMS, obecnie aktywnym kluczem jest wspólny klucz domyślny Webex (ten, którego obecnie używamy do szyfrowania kluczy organizacji).

6

Wybierz sposób aktywacji klucza:

  • Aktywuj: Nowy klucz AWS KMS natychmiast przechodzi do stanu Aktywny.
  • Aktywuj później: Nowy klucz AWS KMS zostanie przeniesiony do stanu oczekiwania. Webex przechowuje ten identyfikator ARN klucza AWS KMS w Cisco KMS, ale jeszcze go nie używa. Webex nadal używa obecnie aktywnego klucza AWS KMS do szyfrowania kluczy organizacji.
Obróć klucz AWS KMS
1

Zaloguj się do Control Hub i wybierz Ustawienia organizacji > Zarządzanie kluczami.

2

Przejdź do aktywnego klucza AWS KMS.

3

Kliknij Menu Więcej i wybierz Obróć.

4

Wprowadź nowy klucz AWS KMS i nową nazwę ARN, a następnie kliknij przycisk Dodaj.

Proces opisano w artykule Dodawanie i aktywowanie klucza AMS KMS .
5

Kliknij przycisk Aktywuj.

Nowy przesłany klucz AWS KMS przechodzi do stanu Aktywny.

Stary klucz AWS KMS pozostaje w stanie Rotacja do momentu, aż usługa Webex zakończy szyfrowanie całej zawartości nowym aktywnym kluczem AWS KMS. Po ponownym zaszyfrowaniu stary klucz AWS KMS automatycznie znika z Control Hub.

Obróć, aby dodać kolejny klucz AWS KMS (opcjonalny)
1

Zaloguj się do Control Hub i wybierz Ustawienia organizacji > Zarządzanie kluczami.

2

Kliknij Dodaj kolejny klucz.

3

Wprowadź nowy klucz AWS KMS i kliknij Dodaj.

Control Hub pokazuje identyfikator klucza KMS Cisco dla nowego klucza AWS KMS oraz identyfikator obecnie aktywnego identyfikatora klucza Cisco KMS.

Proces opisano w artykule Dodawanie i aktywowanie klucza AMS KMS .

4

Kliknij przycisk Aktywuj.

Nowy przesłany klucz AWS KMS przechodzi do stanu Aktywny.

Stary klucz AWS KMS pozostaje w stanie Rotacja do momentu, aż usługa Webex zakończy szyfrowanie całej zawartości nowym aktywnym kluczem AWS KMS. Po ponownym zaszyfrowaniu stary klucz AWS KMS automatycznie znika z Control Hub.

Unieważnij klucz AWS KMS
1

Zaloguj się do Control Hub i wybierz Ustawienia organizacji > Zarządzanie kluczami.

2

Przejdź do aktualnie aktywnego klucza AWS KMS.

3

Kliknij Menu Więcej i wybierz Unieważnij lokalnie.

4

Potwierdź unieważnienie klucza.

Pełne unieważnienie klucza może potrwać do 10 minut. Klucz AWS KMS przechodzi do stanu Lokalnie unieważniony.

Jeśli administrator klienta unieważni klucz z konsoli AWS KMS, klucz AWS KMS jest wyświetlany w stanie Unieważniony przez Amazon w portalu Control Hub.

Usuń klucz AWS KMS
1

Zaloguj się do Control Hub i wybierz Ustawienia organizacji > Zarządzanie kluczami.

2

Przejdź do unieważnionego klucza AWS KMS.

3

Kliknij Menu Więcej i wybierz Usuń.

4

Potwierdź usunięcie klucza.

Po usunięciu klucz można odzyskać w ciągu 30 dni.

Zalecamy usunięcie klucza AWS KMS z Control Hub przed usunięciem CMK z konsoli AWS. Jeśli usuniesz CMK z konsoli AWS przed usunięciem klucza AWS KMS w Control Hub, mogą wystąpić problemy.

Przed usunięciem CMK z konsoli AWS upewnij się, że klucz AWS KMS nie jest już widoczny w Control Hub.

Przywróć klucz AWS KMS
1

Zaloguj się do Control Hub i wybierz Ustawienia organizacji > Zarządzanie kluczami.

2

Przejdź do usuniętego klucza AWS KMS.

3

Kliknij Menu Więcej i wybierz Przywróć.

4

Potwierdź przywrócenie klucza.

Po przywróceniu usługa Control Hub wyświetla klucz w stanie Unieważniono.

Rozwiązywanie problemów z kluczem AWS KMS

Jeśli wystąpią problemy z kluczem AWS KMS, w celu ich rozwiązania należy skorzystać z poniższych informacji.

  • Nazwa ARN klucza KMS AWS. Na przykład: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Dotacje na klucz AWS KMS.

  • Stan klucza AWS KMS. Na przykład klucz AWS KMS jest wyłączony.

Przykład: Tworzenie i szyfrowanie kluczy przy użyciu OpenSSL

W tym przykładzie użyto narzędzi wiersza poleceń OpenSSL w wersji 3.0. Więcej informacji na temat tych narzędzi zawiera temat OpenSSL .

1

Zaloguj się do centrum sterowania.

2

Przejdź do obszaru Ustawienia organizacji > Zarządzanie kluczami.

3

Kliknij Pobierz klucz publiczny.

Otrzymasz klucz publiczny Webex HSM w pliku .pem w systemie lokalnym.

4

Utwórz klucz 256-bitowy (32-bajtowy): openssl rand -out main_key.bin 32.

W przykładzie użyto nazwy pliku main_key.bin dla Twojego nieszyfrowanego nowego klucza.

Alternatywnie można wygenerować 32-bajtową wartość losową za pomocą generatorów Hex Dump, Python lub online. Możesz również tworzyć klucz AWS KMS i zarządzać nim.

5

Do zaszyfrowania nowego klucza użyj klucza publicznego Webex HSM:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

W przykładzie użyto nazwy pliku main_key_encrypted.bin dla zaszyfrowanego klucza wyjściowego, a nazwy pliku path/to/public.pem dla klucza publicznego Webex.

Zaszyfrowany klucz jest gotowy do przesłania do Control Hub.

Powiązane artykuły