Mulțumim pentru feedback.
Gestionați-vă propria cheie principală de client
Feedback?
Ca parte a angajamentului nostru față de securitatea integrală, Webex deține o cheie principală în numele fiecărei organizații. O numim cheie principală, deoarece nu criptează direct conținutul, dar este utilizată pentru a cripta celelalte chei organizației dvs. care criptează conținutul. Nivelul de bază al ierarhiei cheilor se numește cheia de conținut (CK), iar nivelurile intermediare ale cheilor se numesc chei de criptare cheie (KEK).
Recunoaștem că unele organizații preferă să își gestioneze propria securitate, așa că vă oferim opțiunea de a vă gestiona propria cheie principală a clientului (CMK). Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii principale pe care Webex o utilizează pentru a cripta cheile dvs. de criptare a conținutului.
În continuare, o cheie se referă la CMK, cu excepția cazului în care se specifică altfel.
Cum funcționează
-
Webex păstrează CMK-ul dvs. într-un modul de securitate hardware (HSM), astfel încât serviciile Webex să nu aibă acces la valoarea CMK.
-
Control Hub afișează CMK-ul dvs. activ în prezent sau revocat și orice CMK în așteptare care sunt stocate în HSM. Când trebuie să rotiți (recriptați) CMK, generați noul CMK și îl criptați cu cheia publică a HSM, astfel încât doar HSM să îl poată decripta și stoca.
-
Apoi încărcați și activați noul CMK în Control Hub. Webex începe imediat să utilizeze noul CMK pentru a cripta cheile de conținut. Webex păstrează vechiul CMK, dar numai până când se asigură că cheile dvs. de criptare a conținutului sunt securizate de noul CMK.
Recunoaștem că unele organizații preferă să își gestioneze propria cheie în afara Webex. De aceea, vă oferim opțiunea de a vă gestiona propriul CMK în Serviciul de gestionare a cheilor (KMS) Amazon Web Services (AWS). Acest lucru înseamnă că sunteți responsabil pentru gestionarea cheilor dvs. în AWS KMS. Autorizați Webex să cripteze și să decripteze utilizând cheia AWS KMS prin consola AWS. Furnizați Webex ID-ul de cheie AWS KMS în locul CMK. Acest lucru înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii AWS KMS pe care Webex o utilizează pentru a cripta cheile dvs. de criptare a conținutului în cloud.
Cum funcționează
-
Creați o cheie cu AWS. AWS KMS este utilizat pentru a gestiona cheia și stochează cheia într-un modul de securitate hardware (HSM).
-
Oferiți Webex acces pentru a utiliza cheia AWS KMS prin intermediul consola AWS.
Acest lucru înseamnă că, în loc să încărcați CMK-ul dvs. în Control Hub, oferiți Webex acces la cheia AWS KMS. Cheia AWS KMS nu părăsește AWS KMS, iar serviciile Webex nu au acces la materialul cheie AWS KMS.
Control Hub afișează cheia dvs. AWS KMS activă sau revocată în prezent și orice cheie AWS KMS în așteptare care este stocată în AWS KMS. Când trebuie să rotiți cheia AWS KMS, generați noua cheie AWS KMS cu consola AWS KMS.
-
Apoi adăugați și activați noua cheie AWS KMS în Control Hub, furnizându-i Amazon Resource Name (ARN) al noii chei AWS KMS. Webex începe imediat să utilizeze noua cheie AWS KMS pentru a cripta cheile de conținut. Webex nu mai necesită vechea cheie AWS KMS. Vechea cheie AWS KMS va dispărea din Control Hub după ce cheile dvs. de criptare a conținutului sunt rotite și securizate de noua cheie AWS KMS. Webex nu șterge cheia AWS KMS din AWS KMS. Administratorul clientului poate elimina cheia din AWS KMS.
Ciclu de viață cheie
Definiții de stare cheie
- În așteptare
-
O cheie din această stare este stocată în HSM, dar nu este încă utilizată pentru criptare. Webex nu utilizează acest CMK pentru criptare.
Doar o singură cheie poate fi în această stare. - Activ
-
Webex utilizează în prezent acest CMK pentru a cripta alte chei pentru organizația dvs.
Doar o singură cheie poate fi în această stare. - Rotație
-
Webex utilizează temporar acest CMK. Webex trebuie să vă decripteze datele și cheile care au fost criptate anterior de această cheie. Această cheie este retrasă când rotația (recriptarea) este finalizată.
Mai multe taste pot fi în această stare dacă o cheie nouă este activată înainte de finalizarea rotației. - Retrasă
-
Webex nu utilizează acest CMK. Această cheie nu mai este utilizată pentru criptare. Se setează o durată de viață a cheii, după care această cheie este eliminată din HSM.
- Revocată
-
Webex nu utilizează acest CMK. Chiar dacă există date și chei care au fost criptate cu această cheie, Webex nu o poate utiliza pentru a decripta datele și cheile.
- Trebuie să revocați o cheie activă numai dacă suspectați că este compromisă. Aceasta este o decizie serioasă, deoarece împiedică multe operații să se comporte corect. De exemplu, nu veți putea crea spații noi și nu veți putea decripta niciun conținut în clientul Webex.
- Doar o singură cheie poate fi în această stare. Trebuie să reactivați această cheie pentru a roti (recripta) o cheie nouă.
- Acest CMK poate fi șters, dar nu trebuie să îl ștergeți. Este posibil să doriți să o păstrați pentru decriptare/recriptare după ce rezolvați presupusa încălcare de securitate.
- Șterse
-
Webex nu utilizează acest CMK. Comportamentul în această stare este același cu starea revocată, cu excepția faptului că este setată o durată de viață a cheii, după care această cheie este eliminată din HSM.
- Dacă un CMK șters trece la starea Eliminat, trebuie să recuperați cheia originală pentru a restabili funcționalitatea organizației.
- Vă recomandăm să păstrați o copie de rezervă a cheii dvs. originale; în caz contrar, organizația dvs. nu va mai fi funcțională.
- Eliminat
-
Aceasta este o stare logică. Webex nu are acest CMK stocat în HSM. Nu se afișează în Control Hub.
Dreptul de proprietate
Prin preluarea dreptului de proprietate asupra CMK-ului dvs., trebuie:
- Vă asumați responsabilitatea pentru crearea în condiții de siguranță și copierea de rezervă a cheilor dvs.
- Înțelegeți implicațiile pierderii cheilor
- Recriptați CMK-ul activ cel puțin o dată pe an, ca cea mai bună practică
Creare cheie
Trebuie să vă creați propriul CMK utilizând acești parametri. Cheia dvs. trebuie să fie:
- 256 biți (32 biți) lung
- Criptat cu schema RSA-OAEP
- Criptat cu cheia publică HSM Webex cloud
Software-ul de generare a cheilor trebuie să fie capabil de:
- Funcție hash SHA-256
- Funcție de generare a măștilor MGF1
- PKCS#1 OAEP umplutură
Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.
Autorizație
Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fiți un administrator cu drepturi depline pentru a vă gestiona CMK.
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . Pentru a activa opțiunea BYOK, activați opțiunea Aduceți-vă propria cheie (BYOK) . Dacă dezactivați BYOK, cheia implicită comună Webex devine cheia principală pentru organizația dvs. |
| 3 |
Selectați Încărcați o cheie personalizată și faceți clic pe Înainte. |
| 4 |
Faceți clic pe Descărcați cheia publică. Salvați cheia publică Webex HSM într-un fișier .pem pe sistemul dvs. local. |
| 5 |
Creați o cheie aleatorie de 256 biți (32 biți) securizată criptografic utilizând software-ul de gestionare a cheilor. |
| 6 |
Utilizați cheia publică Webex HSM pentru a vă cripta noua cheie. Parametrii de criptare necesari sunt:
Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.
|
| 7 |
Glisați cheia criptată din sistemul dvs. de fișiere și plasați-o în zona de încărcare a interfeței Control Hub sau faceți clic pe Alegeți un fișier. |
| 8 |
Faceți clic pe Următorul. Webex încarcă cheia dvs. în HSM, unde este decriptată și validată. Apoi, Control Hub vă arată ID-ul noului dvs. CMK și ID-ul CMK activ în prezent, dacă există. Dacă acesta este primul dvs. CMK, cheia activă în prezent este cheia implicită comună Webex (cea pe care o utilizăm în prezent pentru criptarea cheilor organizației dvs.). |
| 9 |
Alegeți modul în care doriți să activați cheia:
|
Ce este de făcut în continuare
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . |
| 3 |
Accesați CMK activ. |
| 4 |
Faceți clic pe |
| 5 |
Creați și criptați o cheie nouă (dacă nu ați făcut încă acest lucru). Procesul este descris în Creați și activați cheia principală a clientului din acest articol.
|
| 6 |
Glisați noua cheie din sistemul dvs. de fișiere și plasați-o în Control Hub. |
| 7 |
Faceți clic pe Activați noua cheie. Noua cheie pe care ați încărcat-o intră în starea activă. Vechiul CMK rămâne în Rotație (starea de recriptare) până când Webex termină criptarea întregului conținut cu noul CMK activ. După recriptare, cheia trece în starea Retras(ă). Webex șterge apoi vechiul CMK. |
și selectați | 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . |
| 3 |
Accesați cheia activă. |
| 4 |
Faceți clic pe |
| 5 |
Confirmați revocarea cheii. Poate dura până la 10 minute pentru a revoca complet cheia.
|
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . |
| 3 |
Accesați cheia revocată în prezent. |
| 4 |
Faceți clic pe |
| 5 |
Confirmați activarea cheii. Cheia revocată anterior intră în starea Activ.
|
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . |
| 3 |
Accesați cheia revocată. |
| 4 |
Faceți clic pe |
| 5 |
Confirmați ștergerea cheii. După ștergere, aveți opțiunea de a restabili cheia în termen de 30 de zile.
|
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . |
| 3 |
Accesați cheia ștearsă. |
| 4 |
Faceți clic pe |
| 5 |
Confirmați restaurarea cheii. După restaurare, Control Hub vă arată cheia în starea Revocată înainte ca aceasta să fie ștearsă. De exemplu, dacă ștergeți o cheie revocată și apoi restaurați cheia, Control Hub afișează cheia restaurată în starea Revocată.
|
Dreptul de proprietate
Dacă vă dețineți cheia AWS KMS, trebuie să:
- Vă asumați responsabilitatea pentru crearea și copierea de rezervă în condiții de siguranță a cheilor AWS KMS.
- Înțelegeți implicațiile pierderii cheilor AWS KMS.
- Recriptați cheia AMS KMS activă cel puțin o dată pe an, ca cea mai bună practică.
Autorizație
- Trebuie să fiți autorizat să creați și să gestionați cheile în AWS KMS pentru organizația dvs. Webex.
- Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fiți un administrator cu drepturi depline pentru a gestiona cheia AWS KMS.
| 1 |
Conectați-vă la AWS și accesați consola AWS KMS. |
| 2 |
Selectați Chei gestionate de client , apoi faceți clic pe Creați cheia. |
| 3 |
Creați cheia cu următoarele atribute:
|
| 4 |
Faceți clic pe Următorul. |
| 5 |
Examinați setările și faceți clic pe Finalizare. Cheia dvs. AWS KMS a fost creată.
|
| 6 |
Accesați Chei gestionate de client și faceți clic pe alias sau pe ID-ul cheii pentru a vizualiza ARN-ul. |
Ce este de făcut în continuare
Vă recomandăm să păstrați o copie temporară a ARN-ului. Acest ARN este utilizat pentru a adăuga și activa cheia AWS KMS în Control Hub.
| 1 |
Conectați-vă la AWS și accesați consola AWS CloudShell. |
| 2 |
Rulați Utilizatorul KMS_CISCO_USER_ARN este specific organizației dvs. ARN este afișat în fereastra Adăugați cheia AWS atunci când activați noua cheie AWK KMS în Control Hub. |
Înainte de a începe
Trebuie să creați o cheie AWS KMS înainte de a o activa în Control Hub. Consultați Creați o cheie AWS KMS în acest articol.
Trebuie să furnizați Webex acces la cheia AWS KMS. Consultați Autorizați Cisco KMS cu acces la cheia AWS KMS din acest articol.
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați și activați Aduceți-vă propria cheie (BYOK) . Dacă dezactivați BYOK, cheia implicită comună Webex devine cheia principală pentru organizația dvs. |
| 3 |
Selectați Adăugați cheia AWS KMS și faceți clic pe Înainte. |
| 4 |
Obțineți ARN de la consola AWS. |
| 5 |
Introduceți ARN în Control Hub și faceți clic pe Adăugare. ARN-ul cheii dvs. este încărcat în Cisco KMS, unde accesul la cheie este validat. Apoi, Control Hub vă arată ID-ul cheii Cisco KMS a noii chei AWS KMS și ID-ul cheii Cisco KMS active în prezent, dacă există. Dacă aceasta este prima dvs. cheie AWS KMS, cheia activă în prezent este cheia implicită comună Webex (cea pe care o utilizăm în prezent pentru criptarea cheilor organizației dvs.). |
| 6 |
Alegeți modul în care doriți să activați cheia:
|
| 1 |
Conectați-vă la Control Hub și accesați . |
| 2 |
Accesați cheia AWS KMS activă. |
| 3 |
Faceți clic pe |
| 4 |
Introduceți noua cheie AWS KMS și noul ARN și faceți clic pe Adăugare. Procesul este descris în Adăugați și activați cheia AMS KMS din acest articol.
|
| 5 |
Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea activă. Vechea cheie AWS KMS rămâne în starea Rotativă până când Webex termină criptarea întregului conținut cu noua cheie AWS KMS activă. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub. |
| 1 |
Conectați-vă la Control Hub și accesați . |
| 2 |
Faceți clic pe Adăugați altă cheie. |
| 3 |
Introduceți noua cheie AWS KMS și faceți clic pe Adăugare. Control Hub vă arată ID-ul cheii Cisco KMS a noii chei AWS KMS și ID-ul ID-ului cheii Cisco KMS active în prezent. Procesul este descris în Adăugați și activați cheia AMS KMS din acest articol. |
| 4 |
Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea activă. Vechea cheie AWS KMS rămâne în starea Rotativă până când Webex termină criptarea întregului conținut cu noua cheie AWS KMS activă. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub. |
| 1 |
Conectați-vă la Control Hub și accesați . |
| 2 |
Accesați cheia AWS KMS care este momentan activă. |
| 3 |
Faceți clic pe |
| 4 |
Confirmați revocarea cheii. Poate dura până la 10 minute pentru a revoca complet cheia. Cheia AWS KMS intră în starea Revocată local.
|
Dacă administratorul clientului revocă cheia din consola AWS KMS, cheia AWS KMS este afișată în starea Revocată de Amazon din Control Hub.
| 1 |
Conectați-vă la Control Hub și accesați . |
| 2 |
Accesați cheia AWS KMS revocată. |
| 3 |
Faceți clic pe |
| 4 |
Confirmați ștergerea cheii. După ștergere, puteți recupera cheia în termen de 30 de zile. |
Vă recomandăm să ștergeți mai întâi cheia AWS KMS din Control Hub înainte de a șterge CMK din consola AWS. Dacă ștergeți CMK din consola AWS înainte de a șterge cheia AWS KMS din Control Hub, este posibil să întâmpinați probleme.
Asigurați-vă că cheia AWS KMS nu mai este vizibilă în Control Hub înainte de a șterge CMK-ul din consola AWS.
| 1 |
Conectați-vă la Control Hub și accesați . |
| 2 |
Accesați cheia AWS KMS ștearsă. |
| 3 |
Faceți clic pe |
| 4 |
Confirmați restaurarea cheii. După restaurare, Control Hub vă arată cheia în starea Revocată. |
Dacă întâmpinați probleme cu cheia AWS KMS, utilizați următoarele informații pentru a o depana.
-
Cheie AWS KMS ARN. De exemplu,
arn:aws:kms:us-east-2:111122223333:key/ abcd-12ab-34cd-56ef-1234567890ab. -
Starea cheii AWS KMS. De exemplu, cheia AWS KMS este dezactivată.
Acest exemplu utilizează versiunea 3.0 a instrumentelor de linie de comandă OpenSSL. Consultați OpenSSL pentru mai multe despre aceste instrumente.
| 1 |
Conectați-vă la Control Hub. |
| 2 |
Accesați . |
| 3 |
Faceți clic pe Descărcați cheia publică. Obțineți cheia publică Webex HSM într-un fișier .pem de pe sistemul dvs. local. |
| 4 |
Creați o cheie pe 256 biți (32 biți): Exemplul utilizează numele de fișier main_key.bin pentru cheia dvs. nouă necriptată. În mod alternativ, puteți genera o valoare aleatorie de 32 de biți utilizând Hex dump, Python sau generatoare online. De asemenea, puteți să creați și să gestionați cheia AWS KMS. |
| 5 |
Utilizați cheia publică Webex HSM pentru a vă cripta noua cheie: Exemplul utilizează main_key_encrypted.bin filename pentru cheia de ieșire criptată și path/to/public.pem pentru cheia publică Webex. Cheia criptată este gata pentru a o încărca în Control Hub. |
