Webex este în mod implicit securizat și deținem o cheie principală pentru criptarea tuturor cheilor de criptare ale organizației dvs. Dacă preferați să controlați cheia principală a organizației dvs., puteți face acest lucru cu Control Hub și instrumentele dvs. preferate de gestionare a cheilor.
Ca parte a angajamentului nostru față de securitatea end-to-end, Webex deține o cheie principală în numele fiecărei organizații. O numim cheie principală, deoarece nu criptează direct conținutul, ci este utilizată pentru a cripta celelalte chei ale organizației dvs. care criptează conținutul. Nivelul de bază al ierarhiei cheilor se numește cheie de conținut (CK), iar nivelurile intermediare ale cheilor sunt numite chei de criptare cheie (KEK).
Recunoaștem faptul că unele organizații preferă să își gestioneze propria securitate, așa că vă oferim opțiunea de a vă gestiona propria cheie principală de client (CMK). Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii principale pe care Webex le utilizează pentru a vă cripta cheile de criptare a conținutului.
În continuare, o cheie se referă la CMK, dacă nu se specifică altfel.
Cum funcționează
Webex vă păstrează CMK într-un modul de securitate hardware (HSM), astfel încât serviciile Webex să nu aibă acces la valoarea CMK.
Control Hub afișează CMK activ sau revocat în prezent și orice CMK în așteptare care sunt stocate în HSM. Când trebuie să rotiți (recriptați) CMK, generați noul CMK și îl criptați cu cheia publică a HSM, astfel încât numai HSM să îl poată decripta și stoca.
Apoi, încărcați și activați noul CMK în Control Hub. Webex începe imediat să utilizeze noul CMK pentru criptarea cheilor de conținut. Webex păstrează vechiul CMK, dar numai până când este sigur că cheile dvs. de criptare a conținutului sunt securizate de noul CMK.
Nu recriptăm retroactiv tot conținutul existent. După ce activați CMK-ul, tot conținutul nou (Spații și întâlniri) este recriptat și protejat. |
Recunoaștem că unele organizații preferă să își gestioneze propria cheie în afara Webex. De aceea vă oferim opțiunea de a gestiona propriul CMK în Amazon Web Services (AWS) Key Management Service (KMS). Acest lucru implică faptul că sunteți responsabil pentru gestionarea tastelor în KMS AWS. Permiteți Webex să cripteze și să decripteze utilizând cheia AWS KMS prin intermediul consolei AWS. Furnizați Webex cu ID-ul cheie AWS KMS în loc de CMK. Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii AWS KMS pe care Webex o utilizează pentru a cripta cheile de criptare a conținutului în cloud.
Cum funcționează
Creați o cheie cu AWS. AWS KMS este utilizat pentru a gestiona cheia și stochează cheia într-un modul de securitate hardware (HSM).
Oferiți Webex acces pentru a utiliza cheia AWS KMS prin intermediul consolei AWS.
Aceasta înseamnă că, în loc să încărcați CMK-ul în Control Hub, furnizați Webex acces la cheia AWS KMS. Cheia AWS KMS nu vă lasă AWS KMS, iar serviciile Webex nu au acces la materialul cheie AWS KMS.
Control Hub afișează cheia AWS KMS activă sau revocată în prezent și orice cheie AWS KMS în așteptare care este stocată în AWS KMS. Când trebuie să rotiți cheia AWS KMS, generați noua cheie AWS KMS cu consola AWS KMS.
Apoi adăugați și activați noua cheie AWS KMS în Control Hub, furnizând numele de resurse Amazon (ARN) al noii chei AWS KMS. Webex începe imediat să utilizeze noua cheie AWS KMS pentru criptarea cheilor de conținut. Webex nu mai necesită vechea cheie AWS KMS. Vechea cheie AWS KMS va dispărea din Control Hub după ce cheile de criptare a conținutului sunt rotite și securizate de noua cheie AWS KMS. Webex nu șterge cheia AWS KMS din AWS KMS. Administratorul dvs. de client poate elimina cheia din AWS KMS.
Ciclul de viață al cheii
Definițiile stărilor cheie
- În așteptare
-
O cheie în această stare este stocată în HSM, dar nu este încă utilizată pentru criptare. Webex nu utilizează acest CMK pentru criptare.
O singură cheie poate fi în această stare. - Activ
-
Webex utilizează în prezent acest CMK pentru a cripta alte chei pentru organizația dvs.
O singură cheie poate fi în această stare. - Rotire
-
Webex utilizează temporar acest CMK. Webex are nevoie de acesta pentru a vă decripta datele și cheile care au fost criptate anterior cu această cheie. Această cheie este retrasă atunci când rotația (recriptare) este completă.
Mai multe taste pot fi în această stare dacă o nouă cheie este activată înainte de finalizarea rotației. - Retras
-
Webex nu utilizează acest CMK. Această cheie nu mai este utilizată pentru criptare. Este setată o durată de viață a cheii, după care această cheie este eliminată din HSM.
- Revocat
-
Webex nu utilizează acest CMK. Chiar dacă există date și chei care au fost criptate cu această cheie, Webex nu o poate utiliza pentru a decripta datele și cheile.
- Trebuie să revocați o cheie activă doar dacă bănuiți că este compromisă. Aceasta este o decizie serioasă, deoarece împiedică multe operațiuni să se comporte corect. De exemplu, nu veți putea crea spații noi și nu veți putea decripta niciun conținut în Webex Client.
- O singură cheie poate fi în această stare. Trebuie să reactivați această cheie pentru a roti (recripta) o cheie nouă.
- Acest CMK poate fi șters, dar nu trebuie să îl ștergeți. Este posibil să doriți să-l păstrați pentru decriptare / recriptare după ce ați rezolvat presupusa încălcare a securității.
- Șters
-
Webex nu utilizează acest CMK. Comportamentul în această stare este același cu cel din starea Revocat, cu excepția faptului că este setat un timp de viață al cheii, după care această cheie este eliminată din HSM.
- Dacă un CMK șters trece la starea Eliminat, trebuie să recuperați cheia inițială pentru a restabili funcționalitatea în organizație.
- Vă recomandăm să păstrați o copie de rezervă a cheii originale, în caz contrar, organizația dvs. nu va mai fi funcțională.
- Eliminat
-
Aceasta este o stare logică. Webex nu are acest CMK stocat în HSM. Nu este afișată în Control Hub.
Calitatea de proprietate
Prin preluarea dreptului de proprietate asupra CMK-ului dvs., trebuie să:
- Luați responsabilitatea pentru crearea sigură și susținerea cheilor dvs.
- Înțelegeți implicațiile pierderii cheilor
- Recriptați CMK-ul activ cel puțin o dată pe an ca o bună practică
Crearea cheii
Trebuie să vă creați propriul CMK utilizând acești parametri. Cheia dvs. trebuie să fie:
- Lungime de 256 de biți (32 de biți).
- Criptat cu schema RSA-OAEP
- Criptat cu cheia publică Webex cloud HSM
Software-ul dvs. de generare a cheilor trebuie să fie capabil să:
- Funcția hash SHA-256
- Funcția de generare a măștii MGF1
- Garnitură PKCS#1 OAEP
Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.
Autorizare
Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fiți un administrator cu drepturi depline pentru a vă gestiona CMK.
1 | Conectați-vă la Control Hub . |
2 | Accesați .Pentru a activa BYOK, comutați Aduceți-vă propria cheie (BYOK) pe. Dacă dezactivați BYOK, funcția Cheie implicită comună Webex devine cheia principală pentru organizația dvs. |
3 | Selectați Încărcați o tastă personalizată și faceți clic pe Înainte. |
4 | Faceți clic Descărcați cheia publică . Salvați cheia publică Webex HSM într-un fișier .pem pe sistemul dvs. local. |
5 | Creați o cheie aleatorie de 256 de biți (32 de biți) securizată criptografic utilizând software-ul dvs. de gestionare a cheilor. |
6 | Utilizați cheia publică Webex HSM pentru a cripta noua cheie. Parametrii necesari de criptare sunt:
Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.
|
7 | Trageți cheia criptată din sistemul dvs. de fișiere și plasați-o în zona de încărcare a interfeței Control Hub sau faceți clic Alegeți un fișier . |
8 | Faceți clic pe Înainte. Webex vă încarcă cheia în HSM, unde este decriptată și validată. Apoi, Control Hub vă arată ID -ul noului dvs. CMK și ID -ul CMK-ului activ curent, dacă există. Dacă acesta este primul dvs. CMK, cheia activă în prezent este Cheie implicită comună Webex (cel pe care îl folosim în prezent pentru criptarea cheilor organizației dvs.). |
9 | Alegeți modul în care doriți să vă activați cheia:
|
Ce este de făcut în continuare
Nu recriptăm retroactiv tot conținutul existent. După ce activați CMK-ul, tot conținutul nou (Spații și întâlniri) va fi recriptat și protejat. |
1 | Conectați-vă la Control Hub . |
2 | Accesați . |
3 | Accesați CMK-ul activ. |
4 | Clicși selectați Rotire. |
5 | Creați și criptați o cheie nouă (dacă nu ați efectuat încă acest lucru). Procesul este descris în Creați și activați cheia principală de client în acest articol.
|
6 | Glisați noua cheie din sistemul dvs. de fișiere și plasați-o în Control Hub. |
7 | Faceți clic Activați cheia nouă . Noua cheie pe care ați încărcat-o intră în starea Activ. Vechiul CMK rămâne în rotire (stare de recriptare) până când Webex termină criptarea întregului său conținut cu noul CMK activ. După recriptare, cheia se mută în starea de pensionare. Webex șterge apoi vechiul CMK. |
1 | Conectați-vă la Control Hub . |
2 | Accesați . |
3 | Du-te la cheia activă. |
4 | Clicși selectați Revoke. |
5 | Confirmați revocarea cheie. Poate dura până la 10 minute pentru a vă revoca complet cheia.
|
1 | Conectați-vă la Control Hub . |
2 | Accesați . |
3 | Accesați cheia revocată în prezent. |
4 | Clicși selectați Activare. |
5 | Confirmați activarea cheii. Cheia revocată anterior intră în starea Activ.
|
1 | Conectați-vă la Control Hub . |
2 | Accesați . |
3 | Accesați cheia revocată. |
4 | Clicși selectați Ștergere. |
5 | Confirmați ștergerea tastei. Odată șters, aveți opțiunea de a restabili cheia în termen de 30 de zile.
|
1 | Conectați-vă la Control Hub . |
2 | Accesați . |
3 | Du-te la tasta șters. |
4 | Clicși selectați Undelete. |
5 | Confirmați restaurarea cheii. După restaurare, Control Hub vă arată cheia din starea revizuită înainte de a fi ștearsă. De exemplu, dacă ștergeți o cheie revocată și apoi restaurați cheia, Control Hub afișează cheia restaurată în starea Revocată.
|
Calitatea de proprietate
Prin asumarea proprietății asupra cheii AWS KMS, trebuie să:
- Luați responsabilitatea pentru crearea și susținerea în siguranță a cheilor AWS KMS.
- Înțelegeți implicațiile pierderii tastelor AWS KMS.
- Recriptați cheia activă AMS KMS cel puțin o dată pe an ca o bună practică.
Autorizare
- Trebuie să fiți autorizat să creați și să gestionați tastele în KMS AWS pentru organizația dvs. Webex.
- Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fiți un administrator complet pentru a gestiona cheia AWS KMS.
1 | Conectați-vă la AWS și accesați consola AWS KMS. |
2 | Selectați tastele gestionate de client și apoi faceți clic pe Creare cheie. |
3 | Creați cheia cu următoarele atribute:
|
4 | Faceți clic pe Înainte. |
5 | Revizuiți setările și faceți clic pe Finalizare. Cheia AWS KMS este creată.
|
6 | Accesați tastele gestionate de client și faceți clic pe Alias sau ID-ul cheie pentru a vizualiza ARN-ul. |
Ce este de făcut în continuare
Vă recomandăm să păstrați o copie temporară a ANR-ului. Acest ARN este utilizat pentru a adăuga și activa cheia AWS KMS în Control Hub.
1 | Conectați-vă la AWS și accesați consola AWS CloudShell. | ||
2 | Rulați De exemplu:
|
Înainte de a începe
Trebuie să creați o cheie AWS KMS înainte de a o activa în Control Hub. Consultați Creați o cheie AWS KMS în acest articol.
Trebuie să furnizați Webex acces la cheia AWS KMS. Consultați Autorizarea Cisco KMS cu acces la cheia AWS KMS din acest articol.
1 | Conectați-vă la Control Hub . |
2 | Accesați Aduceți cheia proprie (BYOK) . și activați comutareaDacă dezactivați BYOK, funcția Cheie implicită comună Webex devine cheia principală pentru organizația dvs. |
3 | Selectați Adăugare cheie AWS KMS și faceți clic pe Înainte. |
4 | Ia ARN-ul de pe consola AWS. |
5 | Introduceți ARN-ul în Control Hub și faceți clic pe Adăugare. ARN-ul dvs. cheie este încărcat în Cisco KMS, unde accesul la cheie este validat. Apoi, Control Hub vă arată ID-ul de cheie Cisco KMS al noii dvs. chei AWS KMS și ID-ul de cheie Cisco KMS activ în prezent, dacă există. Dacă aceasta este prima cheie AWS KMS, cheia activă în prezent este cheia implicită comună Webex (cea pe care o folosim în prezent pentru criptarea cheilor organizației dvs.). |
6 | Alegeți modul în care doriți să vă activați cheia:
|
1 | Conectați-vă la Control Hub și accesați . |
2 | Accesați tasta AWS KMS activă. |
3 | Clicși selectați Rotire. |
4 | Introduceți noua cheie AWS KMS și noul ARN și faceți clic pe Adăugare. Procesul este descris în Adăugați și activați cheia AMS KMS în acest articol.
|
5 | Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea Activă. Vechea cheie AWS KMS rămâne în starea de rotire până când Webex termină criptarea întregului conținut cu noua cheie Active AWS KMS. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub. |
1 | Conectați-vă la Control Hub și accesați . |
2 | Faceți clic pe Adăugare altă cheie. |
3 | Introduceți noua cheie AWS KMS și faceți clic pe Adăugare. Control Hub vă arată ID-ul de cheie Cisco KMS al noii dvs. chei AWS KMS și ID-ul ID-ului de cheie Cisco KMS activ în prezent. Procesul este descris în Adăugați și activați cheia AMS KMS în acest articol. |
4 | Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea Activă. Vechea cheie AWS KMS rămâne în starea de rotire până când Webex termină criptarea întregului conținut cu noua cheie Active AWS KMS. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub. |
1 | Conectați-vă la Control Hub și accesați . |
2 | Accesați cheia AWS KMS activă în prezent. |
3 | Clicși selectați Revocare locală. |
4 | Confirmați revocarea cheie. Poate dura până la 10 minute pentru a vă revoca complet cheia. Cheia AWS KMS intră în statul revocat local.
|
Dacă administratorul dvs. client revocă cheia de pe consola AWS KMS, atunci cheia AWS KMS este afișată în starea revizuită de Amazon în Control Hub. |
1 | Conectați-vă la Control Hub și accesați . |
2 | Accesați cheia AWS KMS revocată. |
3 | Clicși selectați Ștergere. |
4 | Confirmați ștergerea tastei. Odată șters, puteți recupera cheia în termen de 30 de zile. |
Vă recomandăm să ștergeți mai întâi cheia AWS KMS din Control Hub înainte de a șterge CMK-ul de pe consola AWS. Dacă ștergeți CMK-ul de pe consola AWS înainte de a șterge cheia AWS KMS din Control Hub, este posibil să întâmpinați probleme. Asigurați-vă că cheia AWS KMS nu mai este vizibilă în Control Hub înainte de a șterge CMK-ul de pe consola AWS. |
1 | Conectați-vă la Control Hub și accesați . |
2 | Accesați tasta AWS KMS șters. |
3 | Clicși selectați Undelete. |
4 | Confirmați restaurarea cheii. Odată restaurat, Control Hub vă arată cheia în starea revizuită. |
Dacă întâmpinați probleme cu cheia AWS KMS, utilizați următoarele informații pentru a o depana.
AWS KMS cheie ARN. De exemplu,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Stare cheie AWS KMS. De exemplu, cheia AWS KMS este dezactivată.
Acest exemplu utilizează versiunea 3.0 a instrumentelor de linie de comandă OpenSSL. Vedeți OpenSSL pentru mai multe despre aceste instrumente.
1 | Conectați-vă la Control Hub . |
2 | Accesați . |
3 | Faceți clic Descărcați cheia publică . Veți obține cheia publică Webex HSM într-un fișier .pem pe sistemul dvs. local. |
4 | Creați o cheie pe 256 de biți (32 de biți): Exemplul utilizează numele fișieruluimain_key .bină pentru noua dvs. cheie necriptată. Alternativ, puteți genera o valoare aleatorie de 32 de octeți folosind Hex dump, Python sau generatoare online. De asemenea, puteți crea și gestiona cheia AWS KMS. |
5 | Utilizați cheia publică Webex HSM pentru a cripta noua cheie:
Exemplul utilizează numele fișieruluimain_key_encrypted .bină pentru cheia de ieșire criptată și numele fișierului cale/către/public.pem pentru cheia publică Webex . Cheia criptată este gata pentru a fi încărcată în Control Hub. |