Webex jest z natury bezpieczny domyślnie, a my przechowujemy główny klucz do szyfrowania wszystkich kluczy szyfrowania Twojej organizacji. Jeśli wolisz kontrolować główny klucz organizacji, możesz to zrobić za pomocą Control Hub i preferowanych narzędzi do zarządzania kluczami.
W ramach naszego zaangażowania w kompleksowe zabezpieczenia Webex przechowuje klucz główny w imieniu każdej organizacji. Nazywamy go kluczem głównym, ponieważ nie szyfruje on zawartości bezpośrednio, ale służy do szyfrowania innych kluczy organizacji, które szyfrują zawartość. Podstawowy poziom hierarchii kluczy jest nazywany kluczem zawartości (CK), a poziomy pośrednie kluczy są nazywane kluczami szyfrowania klucza (KEK).
Zdajemy sobie sprawę, że niektóre organizacje wolą zarządzać własnymi zabezpieczeniami, dlatego dajemy Ci możliwość zarządzania własnym kluczem głównym klienta (CMK). Oznacza to, że ponosisz odpowiedzialność za tworzenie i obracanie (ponowne szyfrowanie) klucza głównego używanego przez Webex do szyfrowania kluczy szyfrowania zawartości.
Idąc dalej, klucz odwołuje się do CMK, chyba że określono inaczej.
Jak to działa
Webex przechowuje CMK w sprzętowym module zabezpieczeń (HSM), dzięki czemu usługi Webex nie mają dostępu do wartości CMK.
Control Hub pokazuje aktualnie aktywne lub odwołane CMK i wszystkie oczekujące CMK, które są przechowywane w HSM. Gdy musisz obrócić (ponownie zaszyfrować) CMK, generujesz swój nowy CMK i szyfrujesz go kluczem publicznym HSM, aby tylko HSM mógł go odszyfrować i przechowywać.
Następnie prześlij i aktywuj nowy CMK w Control Hub. Webex natychmiast zaczyna używać nowego CMK do szyfrowania kluczy treści. Webex zachowuje stary zestaw CMK, ale tylko do momentu upewnienia się, że klucze szyfrowania treści są zabezpieczone przez nowy zestaw CMK.
Nie szyfrujemy wstecznie wszystkich istniejących treści. Po aktywacji CMK wszystkie nowe treści (Obszary i Spotkania) są ponownie szyfrowane i chronione. |
Zdajemy sobie sprawę, że niektóre organizacje wolą zarządzać własnym kluczem poza Webex. Dlatego dajemy Ci możliwość zarządzania własnym CMK w Amazon Web Services (AWS) Key Management Service (KMS). Oznacza to, że jesteś odpowiedzialny za zarządzanie kluczami w AWS KMS. Upoważniasz aplikację Webex do szyfrowania i odszyfrowywania przy użyciu klucza AWS KMS za pośrednictwem konsoli AWS. Przekazujesz Webex identyfikator klucza AWS KMS zamiast CMK. Oznacza to, że bierzesz odpowiedzialność za tworzenie i obracanie (ponowne szyfrowanie) klucza AWS KMS używanego przez Webex do szyfrowania kluczy szyfrowania zawartości w chmurze.
Jak to działa
Utwórz klucz za pomocą AWS. AWS KMS służy do zarządzania kluczem i zapisywania go w module bezpieczeństwa sprzętu (HSM).
Użytkownik Webex ma dostęp do korzystania z klucza AWS KMS za pośrednictwem konsoli AWS.
Oznacza to, że zamiast przesyłać CMK do Control Hub, zapewniasz Webex dostęp do klucza AWS KMS. Klucz AWS KMS nie opuszcza aplikacji AWS KMS, a usługi Webex nie mają dostępu do kluczowych materiałów AWS KMS.
Control Hub wyświetla obecnie aktywny lub cofnięty klucz AWS KMS i wszystkie oczekujące klucze AWS KMS, które są przechowywane w AWS KMS. Gdy zachodzi potrzeba obrócenia klucza AWS KMS, nowy klucz AWS KMS jest generowany za pomocą konsoli AWS KMS.
Następnie należy dodać i aktywować nowy klucz AWS KMS w Control Hub, zapewniając mu nazwę zasobów Amazon (ARN) nowego klucza AWS KMS. Webex natychmiast rozpoczyna korzystanie z nowego klawisza AWS KMS do szyfrowania kluczy zawartości. Aplikacja Webex nie wymaga już starego klucza AWS KMS. Stary klucz AWS KMS zniknie z Control Hub po tym, jak klucze szyfrowania zawartości zostaną obrócone i zabezpieczone przez nowy klucz AWS KMS. Webex nie usuwa klucza AWS KMS z AWS KMS. Administrator klienta może usunąć klucz z AWS KMS.
Cykl życia klucza
Definicje stanów kluczowych
- Oczekująca
-
Klucz w tym stanie jest przechowywany w module HSM, ale nie jest jeszcze używany do szyfrowania. Webex nie używa tej komendy CMK do szyfrowania.
W tym stanie może znajdować się tylko jeden klucz. - Aktywny
-
Webex używa obecnie tego narzędzia CMK do szyfrowania innych kluczy dla Twojej organizacji.
W tym stanie może znajdować się tylko jeden klucz. - Obrót
-
Webex tymczasowo używa tego CMK. Webex potrzebuje go do odszyfrowania danych i kluczy, które były wcześniej zaszyfrowane za pomocą tego klucza. Ten klucz jest wycofany, gdy rotacja (ponowne szyfrowanie) jest zakończona.
Wiele klawiszy może znajdować się w tym stanie, jeśli nowy klawisz zostanie aktywowany przed zakończeniem obracania. - Emerytowany
-
Webex nie używa tego CMK. Ten klucz nie jest już używany do szyfrowania. Ustawiony zostaje czas wygaśnięcia klucza, po którym klucz jest usuwany z modułu HSM.
- Unieważniono
-
Webex nie używa tego CMK. Nawet jeśli istnieją dane i klucze, które zostały zaszyfrowane za pomocą tego klucza, Webex nie może go użyć do odszyfrowania danych i kluczy.
- Aktywny klucz musisz unieważnić tylko wtedy, gdy podejrzewasz, że został naruszony. Jest to poważna decyzja, ponieważ uniemożliwia prawidłowe działanie wielu operacji. Na przykład nie będzie można tworzyć nowych obszarów i nie będzie można odszyfrować żadnej zawartości w kliencie Webex .
- W tym stanie może znajdować się tylko jeden klucz. Należy ponownie aktywować ten klucz, aby obrócić (ponownie zaszyfrować) nowy klucz.
- Ten CMK można usunąć, ale nie trzeba go usuwać. Po stwierdzeniu domniemanego naruszenia bezpieczeństwa można zachować go do odszyfrowania / przeszyfrowania.
- Usunięto
-
Webex nie używa tego CMK. Zachowanie w tym stanie jest takie samo jak w stanie unieważnionym, z tą różnicą, że ustawiany jest czas wygaśnięcia klucza, po którym klucz jest usuwany z modułu HSM.
- Jeśli usunięta CMK przejdzie do stanu Usunięte, musisz odzyskać oryginalny klucz, aby przywrócić funkcjonalność w organizacji.
- Zalecamy zachowanie kopii zapasowej oryginalnego klucza, w przeciwnym razie organizacja przestanie działać.
- Usunięte
-
To jest stan logiczny. Webex nie ma tego CMK przechowywanego w HSM. Nie jest wyświetlany w Control Hub.
Własność
Przejmując na własność swoją usługę CMK, musisz:
- Wzięcia odpowiedzialności za bezpieczne tworzenie i tworzenie kopii zapasowych kluczy
- Zrozum konsekwencje utraty kluczy
- Przeszyfrowanie aktywnego CMK co najmniej raz w roku jako najlepsza praktyka
Tworzenie klucza
Należy utworzyć własny CMK przy użyciu tych parametrów. Twój klucz musi być:
- Długość 256 bitów (32 bajty)
- Szyfrowane przy użyciu schematu RSA-OAEP
- Szyfrowanie za pomocą klucza publicznego Webex Cloud HSM
Oprogramowanie do generowania kluczy musi być w stanie:
- Funkcja skrótu SHA-256
- Funkcja generowania maski MGF1
- Wypełnienie PKCS#1 OAEP
Patrz Przykład: Tworzenie i szyfrowanie kluczy za pomocą OpenSSL na karcie Zasoby w tym artykule.
Autoryzacja
Musisz mieć dostęp do swojej organizacji Webex w Control Hub. Musisz być pełny administrator do zarządzania CMK.
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do .Aby włączyć funkcję BYOK, przełącz Przynieś własny klucz (BYOK) włączone. Jeśli wyłączysz BYOK, Wspólny domyślny klawisz Webex staje się głównym kluczem dla Twojej organizacji. |
3 | Wybierz Prześlij niestandardowy klucz i kliknij Dalej. |
4 | Kliknij Pobierz klucz publiczny . Zapisz klucz publiczny Webex HSM w pliku .pem w systemie lokalnym. |
5 | Utwórz kryptograficznie bezpieczny 256-bitowy (32-bajtowy) losowy klucz za pomocą oprogramowania do zarządzania kluczami. |
6 | Użyj klucza publicznego Webex HSM, aby zaszyfrować nowy klucz. Wymagane parametry szyfrowania to:
Patrz Przykład: Tworzenie i szyfrowanie kluczy za pomocą OpenSSL na karcie Zasoby w tym artykule.
|
7 | Przeciągnij zaszyfrowany klucz z systemu plików i upuść go w obszarze przesyłania interfejsu Control Hub lub kliknij Wybierz plik . |
8 | Kliknij przycisk Dalej. Webex przesyła klucz do modułu HSM, gdzie zostaje odszyfrowany i zweryfikowany. Następnie Control Hub wyświetla identyfikator nowego CMK oraz identyfikator aktualnie aktywnego CMK, jeśli istnieje. Jeśli jest to Twój pierwszy CMK, aktualnie aktywnym kluczem jest Wspólny domyślny klawisz Webex (ten, którego obecnie używamy do szyfrowania kluczy organizacji). |
9 | Wybierz sposób aktywacji klucza:
|
Co zrobić dalej
Nie szyfrujemy wstecznie wszystkich istniejących treści. Po aktywacji CMK wszystkie nowe treści (Obszary i Spotkania) zostaną ponownie zaszyfrowane i zabezpieczone. |
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do . |
3 | Przejdź do aktywnego CMK. |
4 | Klikniji wybierz opcję Obróć. |
5 | Utwórz i zaszyfruj nowy klucz (jeśli jeszcze tego nie zrobiłeś). Proces opisano w Utwórz i aktywuj klucz główny klienta w tym artykule.
|
6 | Przeciągnij nowy klucz z systemu plików i upuść go w Control Hub. |
7 | Kliknij Aktywuj nowy klucz . Przesłany nowy klucz przechodzi w stan Aktywny. Stare CMK pozostaje w obrocie (stan ponownego szyfrowania), dopóki Webex nie zakończy szyfrowania całej zawartości nowym aktywnym CMK. Po ponownym zaszyfrowaniu klucz przenosi się do stanu emerytalnego. Następnie Webex usuwa stary CMK. |
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do . |
3 | Przejdź do aktywnego klawisza. |
4 | Klikniji wybierz opcję Odśwież. |
5 | Potwierdź odwołanie klucza. Może to trwać do 10 minut, aby w pełni odwołać klucz.
|
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do . |
3 | Przejdź do aktualnie cofniętego klawisza. |
4 | Klikniji wybierz opcję Aktywuj. |
5 | Potwierdź aktywację klucza. Poprzednio unieważniony klucz przechodzi w stan Aktywny.
|
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do . |
3 | Przejdź do cofniętego klucza. |
4 | Klikniji wybierz opcję Usuń. |
5 | Potwierdź usunięcie klucza. Po usunięciu możesz przywrócić klucz w ciągu 30 dni.
|
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do . |
3 | Przejdź do usuniętego klucza. |
4 | Klikniji wybierz opcję Usuń. |
5 | Potwierdź przywrócenie klucza. Po przywróceniu Control Hub wyświetli klucz w stanie Odwołanym przed jego usunięciem. Na przykład, jeśli usuniesz cofnięty klucz, a następnie przywrócisz klucz, Control Hub wyświetli przywrócony klucz w stanie cofniętym.
|
Własność
Przejmując odpowiedzialność za klucz AWS KMS, należy:
- Weź odpowiedzialność za bezpieczne tworzenie i tworzenie kopii zapasowych kluczy AWS KMS.
- Zrozum konsekwencje utraty kluczy AWS KMS.
- Przeszyfruj ponownie swój aktywny klucz AMS KMS co najmniej raz w roku jako najlepszą praktykę.
Autoryzacja
- Musisz być upoważniony do tworzenia kluczy w AWS KMS dla swojej organizacji Webex i zarządzania nimi.
- Musisz mieć dostęp do swojej organizacji Webex w Control Hub. Aby zarządzać kluczem AWS KMS, musisz być administratorem pełnym.
1 | Zaloguj się do AWS i przejdź do konsoli AWS KMS. |
2 | Wybierz klucze zarządzane przez klienta, a następnie kliknij przycisk Utwórz klucz. |
3 | Utwórz klucz za pomocą następujących atrybutów:
|
4 | Kliknij przycisk Dalej. |
5 | Przejrzyj ustawienia i kliknij przycisk Zakończ. Utworzono klucz AWS KMS.
|
6 | Przejdź do kluczy zarządzanych przez klienta i kliknij Alias lub identyfikator klucza, aby wyświetlić ARN. |
Co zrobić dalej
Zalecamy zachowanie tymczasowej kopii ARN. Ten ARN służy do dodawania i aktywowania klucza AWS KMS w Control Hub.
1 | Zaloguj się do AWS i przejdź do konsoli AWS CloudShell. | ||
2 | Uruchom Na przykład:
|
Przed rozpoczęciem
Przed aktywacją w Control Hub należy utworzyć klucz AWS KMS. Zapoznaj się z Utwórz klucz AWS KMS w tym artykule.
Należy zapewnić Webex dostęp do klucza AWS KMS. W tym artykule należy zapoznać się z Autoryzacją Cisco KMS z dostępem do klucza AWS KMS.
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do Przynieś własny klucz (BYOK). i włącz opcjęJeśli wyłączysz BYOK, Wspólny domyślny klawisz Webex staje się głównym kluczem dla Twojej organizacji. |
3 | Wybierz Dodaj klawisz AWS KMS i kliknij Dalej. |
4 | Pobierz ARN z konsoli AWS. |
5 | Wprowadź ARN w Control Hub i kliknij przycisk Dodaj. Klucz ARN jest przesyłany do Cisco KMS, gdzie dostęp do klucza jest sprawdzany. Następnie Control Hub wyświetli identyfikator klucza Cisco KMS nowego klawisza AWS KMS oraz aktualnie aktywny identyfikator klucza Cisco KMS, jeśli istnieje. Jeśli jest to Twój pierwszy klucz AWS KMS, obecnie aktywnym kluczem jest wspólny klucz domyślny Webex (ten, którego obecnie używamy do szyfrowania kluczy Twojej organizacji). |
6 | Wybierz sposób aktywacji klucza:
|
1 | Zaloguj się do Control Hub i przejdź do . |
2 | Przejdź do aktywnego klawisza AWS KMS. |
3 | Klikniji wybierz opcję Obróć. |
4 | Wprowadź nowy klucz AWS KMS i nowe ARN i kliknij przycisk Dodaj. Proces ten jest opisany w punkcie Dodaj i aktywuj klucz AMS KMS w tym artykule.
|
5 | Kliknij przycisk Aktywuj. Nowy klucz AWS KMS, który został przesłany, przechodzi do stanu aktywnego. Stary klucz AWS KMS pozostaje w stanie Obrotowym, dopóki Webex nie zakończy szyfrowania całej zawartości nowym aktywnym kluczem AWS KMS. Po ponownym zaszyfrowaniu stary klawisz AWS KMS automatycznie znika z Control Hub. |
1 | Zaloguj się do Control Hub i przejdź do . |
2 | Kliknij przycisk Dodaj inny klucz. |
3 | Wprowadź nowy klucz AWS KMS i kliknij przycisk Dodaj. Control Hub wyświetla identyfikator klucza Cisco KMS nowego klawisza AWS KMS oraz identyfikator aktualnie aktywnego identyfikatora klucza Cisco KMS. Proces ten jest opisany w punkcie Dodaj i aktywuj klucz AMS KMS w tym artykule. |
4 | Kliknij przycisk Aktywuj. Nowy klucz AWS KMS, który został przesłany, przechodzi do stanu aktywnego. Stary klucz AWS KMS pozostaje w stanie Obrotowym, dopóki Webex nie zakończy szyfrowania całej zawartości nowym aktywnym kluczem AWS KMS. Po ponownym zaszyfrowaniu stary klawisz AWS KMS automatycznie znika z Control Hub. |
1 | Zaloguj się do Control Hub i przejdź do . |
2 | Przejdź do aktualnie aktywnego klawisza AWS KMS. |
3 | Klikniji wybierz opcję Lokalne odwołanie. |
4 | Potwierdź odwołanie klucza. Może to trwać do 10 minut, aby w pełni odwołać klucz. Klawisz AWS KMS przechodzi do stanu Lokalnie odwołanego.
|
Jeśli administrator klienta cofnie klucz z konsoli AWS KMS, wówczas klucz AWS KMS jest wyświetlany w stanie Odwołany przez Amazon w Control Hub. |
1 | Zaloguj się do Control Hub i przejdź do . |
2 | Przejdź do cofniętego klawisza AWS KMS. |
3 | Klikniji wybierz opcję Usuń. |
4 | Potwierdź usunięcie klucza. Po usunięciu możesz odzyskać klucz w ciągu 30 dni. |
Zalecamy usunięcie klucza AWS KMS z Control Hub przed usunięciem CMK z konsoli AWS. Jeśli usuniesz CMK z konsoli AWS przed usunięciem klucza AWS KMS w Control Hub, możesz napotkać problemy. Upewnij się, że klucz AWS KMS nie jest już widoczny w Control Hub przed usunięciem CMK z konsoli AWS. |
1 | Zaloguj się do Control Hub i przejdź do . |
2 | Przejdź do usuniętego klawisza AWS KMS. |
3 | Klikniji wybierz opcję Usuń. |
4 | Potwierdź przywrócenie klucza. Po przywróceniu Control Hub wyświetli klucz w stanie cofniętym. |
Jeśli napotkasz problemy z kluczem AWS KMS, użyj następujących informacji, aby je rozwiązać.
Klucz AWS KMS ARN. Na przykład:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Stan klucza AWS KMS. Na przykład klucz AWS KMS jest wyłączony.
W tym przykładzie użyto wersji 3.0 narzędzi wiersza polecenia OpenSSL. Zobacz OpenSSL aby uzyskać więcej informacji o tych narzędziach.
1 | Zaloguj się do Centrum sterowania . |
2 | Przejdź do . |
3 | Kliknij Pobierz klucz publiczny . Klucz publiczny Webex HSM jest pobierany w pliku .pem w systemie lokalnym. |
4 | Utwórz klucz 256-bitowy (32-bajtowy): W przykładzie użyto nazwy plikumain_key .bin dla nowego niezaszyfrowanego klucza. Alternatywnie, można wygenerować 32-bajtową wartość losową za pomocą zrzutu Hex, Pythona lub generatorów online. Możesz również utworzyć klucz KMS AWS i zarządzać nim. |
5 | Użyj klucza publicznego Webex HSM, aby zaszyfrować nowy klucz:
W przykładzie użyto nazwy plikumain_key_encrypted .bin dla zaszyfrowanego klucza wyjściowego i nazwy pliku ścieżka/do/public.pem dla klucza publicznego Webex . Zaszyfrowany klucz jest gotowy do przesłania do Control Hub. |