Gestionați-vă propria cheie principală client

Despre cheile principale ale clientului

Ca parte a angajamentului nostru față de securitatea end-to-end, Webex deține o cheie principală în numele fiecărei organizații. O numim cheie principală, deoarece nu criptează direct conținutul, ci este utilizată pentru a cripta celelalte chei ale organizației dvs. care criptează conținutul. Nivelul de bază al ierarhiei cheilor se numește cheie de conținut (CK), iar nivelurile intermediare ale cheilor sunt numite chei de criptare cheie (KEK).

Recunoaștem faptul că unele organizații preferă să își gestioneze propria securitate, așa că vă oferim opțiunea de a vă gestiona propria cheie principală de client (CMK). Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii principale pe care Webex le utilizează pentru a vă cripta cheile de criptare a conținutului.

În continuare, o cheie se referă la CMK, dacă nu se specifică altfel.

Cum funcționează

Webex vă păstrează CMK într-un modul de securitate hardware (HSM), astfel încât serviciile Webex să nu aibă acces la valoarea CMK.
Control Hub afișează CMK activ sau revocat în prezent și orice CMK în așteptare care sunt stocate în HSM. Când trebuie să rotiți (recriptați) CMK, generați noul CMK și îl criptați cu cheia publică a HSM, astfel încât numai HSM să îl poată decripta și stoca.
Apoi, încărcați și activați noul CMK în Control Hub. Webex începe imediat să utilizeze noul CMK pentru criptarea cheilor de conținut. Webex păstrează vechiul CMK, dar numai până când este sigur că cheile dvs. de criptare a conținutului sunt securizate de noul CMK.

Nu recriptăm retroactiv tot conținutul existent. După ce activați CMK-ul, tot conținutul nou (Spații și întâlniri) este recriptat și protejat.

Despre cheile AWS KMS

Recunoaștem că unele organizații preferă să își gestioneze propria cheie în afara Webex. De aceea vă oferim opțiunea de a gestiona propriul CMK în Amazon Web Services (AWS) Key Management Service (KMS). Acest lucru implică faptul că sunteți responsabil pentru gestionarea tastelor în KMS AWS. Permiteți Webex să cripteze și să decripteze utilizând cheia AWS KMS prin intermediul consolei AWS. Furnizați Webex cu ID-ul cheie AWS KMS în loc de CMK. Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii AWS KMS pe care Webex o utilizează pentru a cripta cheile de criptare a conținutului în cloud.

Cum funcționează

Creați o cheie cu AWS. AWS KMS este utilizat pentru a gestiona cheia și stochează cheia într-un modul de securitate hardware (HSM).
Oferiți Webex acces pentru a utiliza cheia AWS KMS prin intermediul consolei AWS.

Aceasta înseamnă că, în loc să încărcați CMK-ul în Control Hub, furnizați Webex acces la cheia AWS KMS. Cheia AWS KMS nu vă lasă AWS KMS, iar serviciile Webex nu au acces la materialul cheie AWS KMS.

Control Hub afișează cheia AWS KMS activă sau revocată în prezent și orice cheie AWS KMS în așteptare care este stocată în AWS KMS. Când trebuie să rotiți cheia AWS KMS, generați noua cheie AWS KMS cu consola AWS KMS.
Apoi adăugați și activați noua cheie AWS KMS în Control Hub, furnizând numele de resurse Amazon (ARN) al noii chei AWS KMS. Webex începe imediat să utilizeze noua cheie AWS KMS pentru criptarea cheilor de conținut. Webex nu mai necesită vechea cheie AWS KMS. Vechea cheie AWS KMS va dispărea din Control Hub după ce cheile de criptare a conținutului sunt rotite și securizate de noua cheie AWS KMS. Webex nu șterge cheia AWS KMS din AWS KMS. Administratorul dvs. de client poate elimina cheia din AWS KMS.

Stări cheie și ciclu de viață

Ciclul de viață al cheii

Definițiile stărilor cheie

În așteptare

O cheie în această stare este stocată în HSM, dar nu este încă utilizată pentru criptare. Webex nu utilizează acest CMK pentru criptare.

O singură cheie poate fi în această stare.

Activ

Webex utilizează în prezent acest CMK pentru a cripta alte chei pentru organizația dvs.

O singură cheie poate fi în această stare.

Rotire

Webex utilizează temporar acest CMK. Webex are nevoie de acesta pentru a vă decripta datele și cheile care au fost criptate anterior cu această cheie. Această cheie este retrasă atunci când rotația (recriptare) este completă.

Mai multe taste pot fi în această stare dacă o nouă cheie este activată înainte de finalizarea rotației.

Retras

Webex nu utilizează acest CMK. Această cheie nu mai este utilizată pentru criptare. Este setată o durată de viață a cheii, după care această cheie este eliminată din HSM.

Revocat

Webex nu utilizează acest CMK. Chiar dacă există date și chei care au fost criptate cu această cheie, Webex nu o poate utiliza pentru a decripta datele și cheile.

Trebuie să revocați o cheie activă doar dacă bănuiți că este compromisă. Aceasta este o decizie serioasă, deoarece împiedică multe operațiuni să se comporte corect. De exemplu, nu veți putea crea spații noi și nu veți putea decripta niciun conținut în Webex Client.
O singură cheie poate fi în această stare. Trebuie să reactivați această cheie pentru a roti (recripta) o cheie nouă.
Acest CMK poate fi șters, dar nu trebuie să îl ștergeți. Este posibil să doriți să-l păstrați pentru decriptare / recriptare după ce ați rezolvat presupusa încălcare a securității.

Șters

Webex nu utilizează acest CMK. Comportamentul în această stare este același cu cel din starea Revocat, cu excepția faptului că este setat un timp de viață al cheii, după care această cheie este eliminată din HSM.

Dacă un CMK șters trece la starea Eliminat, trebuie să recuperați cheia inițială pentru a restabili funcționalitatea în organizație.

Vă recomandăm să păstrați o copie de rezervă a cheii originale, în caz contrar, organizația dvs. nu va mai fi funcțională.

Eliminat

Aceasta este o stare logică. Webex nu are acest CMK stocat în HSM. Nu este afișată în Control Hub.

Cerințe

Calitatea de proprietate

Prin preluarea dreptului de proprietate asupra CMK-ului dvs., trebuie să:

Luați responsabilitatea pentru crearea sigură și susținerea cheilor dvs.
Înțelegeți implicațiile pierderii cheilor
Recriptați CMK-ul activ cel puțin o dată pe an ca o bună practică

Crearea cheii

Trebuie să vă creați propriul CMK utilizând acești parametri. Cheia dvs. trebuie să fie:

Lungime de 256 de biți (32 de biți).
Criptat cu schema RSA-OAEP
Criptat cu cheia publică Webex cloud HSM

Software-ul dvs. de generare a cheilor trebuie să fie capabil să:

Funcția hash SHA-256
Funcția de generare a măștii MGF1
Garnitură PKCS#1 OAEP

Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.

Autorizare

Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fiți un administrator cu drepturi depline pentru a vă gestiona CMK.

Creați și activați cheia principală de client

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor . Pentru a activa BYOK, comutați Aduceți-vă propria cheie (BYOK) pe. Dacă dezactivați BYOK, funcția Cheie implicită comună Webex devine cheia principală pentru organizația dvs.
3	Selectați Încărcați o tastă personalizată și faceți clic pe Înainte.
4	Faceți clic Descărcați cheia publică . Salvați cheia publică Webex HSM într-un fișier .pem pe sistemul dvs. local.
5	Creați o cheie aleatorie de 256 de biți (32 de biți) securizată criptografic utilizând software-ul dvs. de gestionare a cheilor.
6	Utilizați cheia publică Webex HSM pentru a cripta noua cheie. Parametrii necesari de criptare sunt: Schema RSA-OAEP Funcția hash SHA-256 Funcția de generare a măștii MGF1 Garnitură PKCS#1 OAEP Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.
7	Trageți cheia criptată din sistemul dvs. de fișiere și plasați-o în zona de încărcare a interfeței Control Hub sau faceți clic Alegeți un fișier .
8	Faceți clic pe Înainte. Webex vă încarcă cheia în HSM, unde este decriptată și validată. Apoi, Control Hub vă arată ID -ul noului dvs. CMK și ID -ul CMK-ului activ curent, dacă există. Dacă acesta este primul dvs. CMK, cheia activă în prezent este Cheie implicită comună Webex (cel pe care îl folosim în prezent pentru criptarea cheilor organizației dvs.).
9	Alegeți modul în care doriți să vă activați cheia: Activați cheia nouă : Noul CMK intră imediat în starea Activ. CMK activ anterior intră în Rotație (stare de recriptare), până când tot conținutul dvs. este protejat de noul CMK, după care Webex șterge CMK activ anterior. Activați mai târziu : Noul CMK trece în starea În așteptare. Webex păstrează acest CMK în HSM, dar nu îl utilizează încă. Webex continuă să utilizeze CMK activ în prezent pentru criptarea cheilor organizației dvs.

Ce este de făcut în continuare

Nu recriptăm retroactiv tot conținutul existent. După ce activați CMK-ul, tot conținutul nou (Spații și întâlniri) va fi recriptat și protejat.

Rotiți cheia

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor .
3	Accesați CMK-ul activ.
4	Faceți clic și selectați Rotire.
5	Creați și criptați o cheie nouă (dacă nu ați efectuat încă acest lucru). Procesul este descris în Creați și activați cheia principală de client în acest articol.
6	Glisați noua cheie din sistemul dvs. de fișiere și plasați-o în Control Hub.
7	Faceți clic Activați cheia nouă . Noua cheie pe care ați încărcat-o intră în starea Activ. Vechiul CMK rămâne în rotire (stare de recriptare) până când Webex termină criptarea întregului său conținut cu noul CMK activ. După recriptare, cheia se mută în starea de pensionare. Webex șterge apoi vechiul CMK.

Revocați-vă cheia

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor .
3	Du-te la cheia activă.
4	Faceți clic și selectați Revoke.
5	Confirmați revocarea cheie. Poate dura până la 10 minute pentru a vă revoca complet cheia.

Reactivați-vă cheia revocată

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor .
3	Accesați cheia revocată în prezent.
4	Faceți clic și selectați Activare.
5	Confirmați activarea cheii. Cheia revocată anterior intră în starea Activ.

Ștergeți cheia revocată

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor .
3	Accesați cheia revocată.
4	Faceți clic și selectați Ștergere.
5	Confirmați ștergerea tastei. Odată șters, aveți opțiunea de a restabili cheia în termen de 30 de zile.

Restaurați cheia revocată

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor .
3	Du-te la tasta șters.
4	Faceți clic și selectați Undelete.
5	Confirmați restaurarea cheii. După restaurare, Control Hub vă arată cheia din starea revizuită înainte de a fi ștearsă. De exemplu, dacă ștergeți o cheie revocată și apoi restaurați cheia, Control Hub afișează cheia restaurată în starea Revocată.

Cerințe

Calitatea de proprietate

Prin asumarea proprietății asupra cheii AWS KMS, trebuie să:

Luați responsabilitatea pentru crearea și susținerea în siguranță a cheilor AWS KMS.
Înțelegeți implicațiile pierderii tastelor AWS KMS.
Recriptați cheia activă AMS KMS cel puțin o dată pe an ca o bună practică.

Autorizare

Trebuie să fiți autorizat să creați și să gestionați tastele în KMS AWS pentru organizația dvs. Webex.
Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fiți un administrator complet pentru a gestiona cheia AWS KMS.

Creați o tastă AWS KMS

1	Conectați-vă la AWS și accesați consola AWS KMS.
2	Selectați tastele gestionate de client și apoi faceți clic pe Creare cheie.
3	Creați cheia cu următoarele atribute: Tip cheie – Selectați simetric. Utilizare cheie—Selectați Criptare și decriptare. Etichete – Introduceți alias-urile, descrierea și etichetele. Administratori-cheie – Selectați utilizatorii și rolurile administratorului-cheie ale organizației dvs. Ștergere cheie—Verificați Permiteți administratorilor de taste să șteargă această cheie. Utilizatori cheie – Selectați utilizatorii și rolurile cheie ale organizației dvs.
4	Faceți clic pe Înainte.
5	Revizuiți setările și faceți clic pe Finalizare. Cheia AWS KMS este creată.
6	Accesați tastele gestionate de client și faceți clic pe Alias sau ID-ul cheie pentru a vizualiza ARN-ul.

Ce este de făcut în continuare

Vă recomandăm să păstrați o copie temporară a ANR-ului. Acest ARN este utilizat pentru a adăuga și activa cheia AWS KMS în Control Hub.

Autorizați Cisco KMS cu acces la cheia AWS KMS

Conectați-vă la AWS și accesați consola AWS CloudShell.

Rulați create-grant pentru a autoriza Webex după cum urmează:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

De exemplu:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Fișierul KMS_CISCO_USER_ARN este specific organizației dvs. ARN-ul este afișat în fereastra Adăugați cheia AWS atunci când activați noua cheie AWK KMS în Control Hub.

Adăugați și activați cheia AWS KMS

Înainte de a începe

Trebuie să creați o cheie AWS KMS înainte de a o activa în Control Hub. Consultați Creați o cheie AWS KMS în acest articol.

Trebuie să furnizați Webex acces la cheia AWS KMS. Consultați Autorizarea Cisco KMS cu acces la cheia AWS KMS din acest articol.

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Gestionarea cheilor și activați comutarea Aduceți cheia proprie (BYOK) . Dacă dezactivați BYOK, funcția Cheie implicită comună Webex devine cheia principală pentru organizația dvs.
3	Selectați Adăugare cheie AWS KMS și faceți clic pe Înainte.
4	Ia ARN-ul de pe consola AWS.
5	Introduceți ARN-ul în Control Hub și faceți clic pe Adăugare. ARN-ul dvs. cheie este încărcat în Cisco KMS, unde accesul la cheie este validat. Apoi, Control Hub vă arată ID-ul de cheie Cisco KMS al noii dvs. chei AWS KMS și ID-ul de cheie Cisco KMS activ în prezent, dacă există. Dacă aceasta este prima cheie AWS KMS, cheia activă în prezent este cheia implicită comună Webex (cea pe care o folosim în prezent pentru criptarea cheilor organizației dvs.).
6	Alegeți modul în care doriți să vă activați cheia: Activați: Noua cheie AWS KMS intră imediat în starea Activă. Activați mai târziu : Noua cheie AWS KMS se mută în starea în așteptare. Webex păstrează acest ARN cheie AWS KMS în Cisco KMS, dar nu îl utilizează încă. Webex continuă să utilizeze cheia AWS KMS activă în prezent pentru criptarea cheilor organizației dvs.

Rotiți cheia AWS KMS

1	Conectați-vă la Control Hub și accesați Setări organizație > Gestionare cheie.
2	Accesați tasta AWS KMS activă.
3	Faceți clic și selectați Rotire.
4	Introduceți noua cheie AWS KMS și noul ARN și faceți clic pe Adăugare. Procesul este descris în Adăugați și activați cheia AMS KMS în acest articol.
5	Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea Activă. Vechea cheie AWS KMS rămâne în starea de rotire până când Webex termină criptarea întregului conținut cu noua cheie Active AWS KMS. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub.

Rotiți pentru a adăuga o altă cheie AWS KMS (opțional)

1	Conectați-vă la Control Hub și accesați Setări organizație > Gestionare cheie.
2	Faceți clic pe Adăugare altă cheie.
3	Introduceți noua cheie AWS KMS și faceți clic pe Adăugare. Control Hub vă arată ID-ul de cheie Cisco KMS al noii dvs. chei AWS KMS și ID-ul ID-ului de cheie Cisco KMS activ în prezent. Procesul este descris în Adăugați și activați cheia AMS KMS în acest articol.
4	Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea Activă. Vechea cheie AWS KMS rămâne în starea de rotire până când Webex termină criptarea întregului conținut cu noua cheie Active AWS KMS. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub.

Revocați cheia AWS KMS

1	Conectați-vă la Control Hub și accesați Setări organizație > Gestionare cheie.
2	Accesați cheia AWS KMS activă în prezent.
3	Faceți clic și selectați Revocare locală.
4	Confirmați revocarea cheie. Poate dura până la 10 minute pentru a vă revoca complet cheia. Cheia AWS KMS intră în statul revocat local.

Dacă administratorul dvs. client revocă cheia de pe consola AWS KMS, atunci cheia AWS KMS este afișată în starea revizuită de Amazon în Control Hub.

Ștergeți cheia AWS KMS

1	Conectați-vă la Control Hub și accesați Setări organizație > Gestionare cheie.
2	Accesați cheia AWS KMS revocată.
3	Faceți clic și selectați Ștergere.
4	Confirmați ștergerea tastei. Odată șters, puteți recupera cheia în termen de 30 de zile.

Vă recomandăm să ștergeți mai întâi cheia AWS KMS din Control Hub înainte de a șterge CMK-ul de pe consola AWS. Dacă ștergeți CMK-ul de pe consola AWS înainte de a șterge cheia AWS KMS din Control Hub, este posibil să întâmpinați probleme.

Asigurați-vă că cheia AWS KMS nu mai este vizibilă în Control Hub înainte de a șterge CMK-ul de pe consola AWS.

Restaurați cheia AWS KMS

1	Conectați-vă la Control Hub și accesați Setări organizație > Gestionare cheie.
2	Accesați tasta AWS KMS șters.
3	Faceți clic și selectați Undelete.
4	Confirmați restaurarea cheii. Odată restaurat, Control Hub vă arată cheia în starea revizuită.

Depanarea tastei AWS KMS

Dacă întâmpinați probleme cu cheia AWS KMS, utilizați următoarele informații pentru a o depana.

AWS KMS cheie ARN. De exemplu, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Granturi pe cheia AWS KMS.
Stare cheie AWS KMS. De exemplu, cheia AWS KMS este dezactivată.

Exemplu: Creați și criptați chei cu OpenSSL

Acest exemplu utilizează versiunea 3.0 a instrumentelor de linie de comandă OpenSSL. Vedeți OpenSSL pentru mai multe despre aceste instrumente.

1	Conectați-vă la Control Hub .
2	Accesați Setări organizație > Managementul cheilor .
3	Faceți clic Descărcați cheia publică . Veți obține cheia publică Webex HSM într-un fișier .pem pe sistemul dvs. local.
4	Creați o cheie pe 256 de biți (32 de biți): `openssl rand 32 -out main_key.bin` Exemplul utilizează numele fișieruluimain_key .bină pentru noua dvs. cheie necriptată.
5	Utilizați cheia publică Webex HSM pentru a cripta noua cheie: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Exemplul utilizează numele fișieruluimain_key_encrypted .bină pentru cheia de ieșire criptată și numele fișierului cale/către/public.pem pentru cheia publică Webex . Cheia criptată este gata pentru a fi încărcată în Control Hub.