Благодарим вас за обратную связь.
Управляйте своим собственным основным ключом клиента
Отправить обратную связь?Эта функция не поддерживается для решения Webex for Government.
В рамках нашей приверженности сквозной безопасности Webex хранит главный ключ от имени каждой организации. Мы называем его основным ключом, поскольку он не шифрует контент напрямую, но используется для шифрования других ключей вашей организации, которые шифруют контент. Базовый уровень иерархии ключей называется ключом содержимого (CK), а промежуточные уровни ключей называются ключами шифрования ключей (KEK).
Мы понимаем, что некоторые организации предпочитают самостоятельно управлять своей безопасностью, поэтому мы предоставляем вам возможность управлять собственным основным ключом клиента (CMK). Это означает, что вы берете на себя ответственность за создание и ротацию (повторное шифрование) основного ключа, который Webex использует для шифрования ваших ключей шифрования контента.
В дальнейшем под ключом будет подразумеваться CMK, если не указано иное.
Принцип работы
-
Webex хранит ваш CMK в аппаратном модуле безопасности (HSM), чтобы службы Webex не имели доступа к значению CMK.
-
Control Hub показывает ваш текущий активный или отозванный CMK, а также любые ожидающие CMK, которые хранятся в HSM. Когда вам необходимо ротировать (перешифровать) CMK, вы генерируете новый CMK и шифруете его с помощью открытого ключа HSM, так что только HSM может расшифровать и сохранить его.
-
Затем вы загружаете и активируете новый CMK в Control Hub. Webex немедленно начнет использовать новый CMK для шифрования ваших ключей контента. Webex сохраняет старый CMK, но только до тех пор, пока не будет уверен, что ваши ключи шифрования контента защищены новым CMK.
Мы не проводим ретроспективное перешифрование всего существующего контента. После активации CMK весь новый контент (пространства и встречи) будет повторно зашифрован и защищен.
Мы понимаем, что некоторые организации предпочитают управлять собственными ключами вне Webex. Вот почему мы предоставляем вам возможность управлять собственным CMK в службе управления ключами (KMS) Amazon Web Services (AWS). Это подразумевает, что вы несете ответственность за управление своими ключами в AWS KMS. Вы разрешаете Webex шифровать и дешифровать данные с использованием вашего ключа AWS KMS через консоль AWS. Вы предоставляете Webex идентификатор своего ключа AWS KMS вместо CMK. Это означает, что вы берете на себя ответственность за создание и ротацию (повторное шифрование) ключа AWS KMS, который Webex использует для шифрования ваших ключей шифрования контента в облаке.
Принцип работы
-
Вы создаете ключ с помощью AWS. AWS KMS используется для управления вашим ключом и хранит ключ в аппаратном модуле безопасности (HSM).
-
Вы предоставляете Webex доступ к использованию ключа AWS KMS через консоль AWS.
Это означает, что вместо загрузки вашего CMK в Control Hub вы предоставляете Webex доступ к ключу AWS KMS. Ключ AWS KMS не покидает пределы вашего AWS KMS, а службы Webex не имеют доступа к материалам ключа AWS KMS.
Control Hub отображает ваш текущий активный или отозванный ключ AWS KMS, а также любой ожидающий ключ AWS KMS, хранящийся в AWS KMS. Когда вам необходимо выполнить ротацию ключа AWS KMS, вы генерируете новый ключ AWS KMS с помощью консоли AWS KMS.
-
Затем вы добавляете и активируете новый ключ AWS KMS в Control Hub, предоставляя ему имя ресурса Amazon (ARN) нового ключа AWS KMS. Webex немедленно начнет использовать новый ключ AWS KMS для шифрования ваших ключей контента. Webex больше не требует старого ключа AWS KMS. Старый ключ AWS KMS исчезнет из Control Hub после того, как ваши ключи шифрования контента будут заменены и защищены новым ключом AWS KMS. Webex не удаляет ключ AWS KMS из AWS KMS. Администратор вашего клиента может удалить ключ из AWS KMS.
Жизненный цикл ключа
Ключевые определения состояний
- Ожидание
-
Ключ в этом состоянии хранится в HSM, но пока не используется для шифрования. Webex не использует этот CMK для шифрования.
В таком состоянии может находиться только один ключ.
- Активен
-
В настоящее время Webex использует этот CMK для шифрования других ключей для вашей организации.
В таком состоянии может находиться только один ключ.
- Поворот
-
Webex временно использует этот CMK. Он необходим Webex для расшифровки ваших данных и ключей, которые ранее были зашифрованы этим ключом. Этот ключ удаляется после завершения ротации (повторного шифрования).
В этом состоянии могут находиться несколько ключей, если новый ключ активируется до завершения вращения.
- Использование прекращено
-
Webex не использует этот CMK. Этот ключ больше не используется для шифрования. Устанавливается время жизни ключа, по истечении которого этот ключ удаляется из HSM.
- Отозвано
-
Webex не использует этот CMK. Даже если есть данные и ключи, зашифрованные с помощью этого ключа, Webex не сможет использовать его для расшифровки данных и ключей.
- Вам необходимо отозвать активный ключ только в том случае, если вы подозреваете, что он скомпрометирован. Это серьезное решение, поскольку оно мешает многим операциям работать должным образом. Например, вы не сможете создавать новые пространства и не сможете расшифровать какой-либо контент в клиенте Webex.
- В таком состоянии может находиться только один ключ. Для ротации (повторного шифрования) нового ключа необходимо повторно активировать этот ключ.
- Этот CMK можно удалить, но вам не обязательно это делать. Вы можете сохранить его для расшифровки. / повторное шифрование после устранения предполагаемого нарушения безопасности.
- Удалено
-
Webex не использует этот CMK. Поведение в этом состоянии такое же, как и в состоянии «Отозван», за исключением того, что устанавливается время жизни ключа, по истечении которого этот ключ удаляется из HSM.
- Если удаленный CMK перешел в состояние «Удален», вам необходимо восстановить исходный ключ, чтобы восстановить функциональность организации.
- Мы рекомендуем вам сохранить резервную копию вашего оригинального ключа, в противном случае ваша организация больше не сможет функционировать.
- Удалено
-
Это логическое состояние. У Webex этот CMK не хранится в HSM. Он не отображается в Control Hub.
Право собственности
Принимая на себя ответственность за свой ЦМК, вы должны:
- Возьмите на себя ответственность за безопасное создание и резервное копирование ваших ключей.
- Поймите последствия потери ключей
- Рекомендуется повторно шифровать активный CMK не реже одного раза в год.
Создание ключа
Вы должны создать свой собственный CMK, используя эти параметры. Ваш ключ должен быть:
- Длина 256 бит (32 байта)
- Зашифровано с помощью схемы RSA-OAEP
- Зашифровано с помощью открытого ключа HSM облака Webex
Ваше программное обеспечение для генерации ключей должно быть способно:
- Хеш-функция SHA-256
- Функция генерации маски MGF1
- PKCS#1 заполнение OAEP
См. Пример: Создайте и зашифруйте ключи с помощью OpenSSL на вкладке «Ресурсы» в этой статье.
Авторизация
У вас должен быть доступ к вашей организации Webex в Control Hub. Для управления вашим CMK вы должны быть полным администратором.
| 1 | |
| 2 |
Перейти к . Чтобы включить функцию BYOK, включите функцию Принеси свой ключ (BYOK). Если вы отключите BYOK, общий ключ Webex по умолчанию станет основным ключом для вашей организации. |
| 3 |
Выберите Загрузить пользовательский ключ и нажмите Далее. |
| 4 |
Нажмите Загрузить открытый ключ. Сохраните открытый ключ Webex HSM в файле .pem в локальной системе. |
| 5 |
Создайте криптографически безопасный 256-битный (32-байтовый) случайный ключ, используя программное обеспечение для управления ключами. |
| 6 |
Используйте открытый ключ Webex HSM для шифрования нового ключа. Требуемые параметры шифрования:
См. Пример: Создайте и зашифруйте ключи с помощью OpenSSL на вкладке «Ресурсы» в этой статье.
|
| 7 |
Перетащите зашифрованный ключ из файловой системы в область загрузки интерфейса Control Hub или нажмите Выбрать файл. |
| 8 |
Щелкните Далее. Webex загружает ваш ключ в HSM, где он расшифровывается и проверяется. Затем Control Hub покажет вам идентификатор вашего нового CMK и идентификатор текущего активного CMK, если таковой имеется. Если это ваш первый CMK, то в данный момент активным ключом является общий ключ Webex по умолчанию (тот, который мы в настоящее время используем для шифрования ключей вашей организации). |
| 9 |
Выберите способ активации вашего ключа:
|
Дальнейшие действия
Мы не проводим ретроспективное перешифрование всего существующего контента. После активации CMK весь новый контент (Пространства и Встречи) будет повторно зашифрован и защищен.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Перейти к активному ЦМК. |
| 4 |
Нажмите |
| 5 |
Создайте и зашифруйте новый ключ (если вы еще этого не сделали). Процесс описан в разделе Создание и активация основного ключа клиента в этой статье.
|
| 6 |
Перетащите новый ключ из файловой системы в Control Hub. |
| 7 |
Нажмите Активировать новый ключ. Новый загруженный вами ключ переходит в активное состояние. Старый CMK остается в состоянии ротации (повторного шифрования) до тех пор, пока Webex не завершит шифрование всего своего контента с помощью нового активного CMK. После повторного шифрования ключ переходит в состояние «Исключен». Затем Webex удаляет старый CMK. |
и выберите | 1 | |
| 2 |
Перейти к . |
| 3 |
Перейти к удаленному ключу. |
| 4 |
Нажмите |
| 5 |
Подтвердите восстановление ключа. После восстановления Control Hub покажет вам ключ в состоянии «Отозван» до того, как он был удален. Например, если вы удалите отозванный ключ, а затем восстановите его, Control Hub отобразит восстановленный ключ в состоянии «Отозван».
|
Право собственности
Становясь владельцем ключа AWS KMS, вы должны:
- Возьмите на себя ответственность за безопасное создание и резервное копирование ваших ключей AWS KMS.
- Поймите последствия потери ключей AWS KMS.
- Рекомендуется повторно шифровать активный ключ AMS KMS не реже одного раза в год.
Авторизация
- Вам необходимо иметь авторизацию для создания и управления ключами в AWS KMS для вашей организации Webex.
- У вас должен быть доступ к вашей организации Webex в Control Hub. Для управления ключом AWS KMS вам необходимо быть полным администратором.
| 1 |
Войдите в AWS и перейдите в консоль AWS KMS. |
| 2 |
Выберите Ключи, управляемые клиентом, а затем нажмите Создать ключ. |
| 3 |
Создайте ключ со следующими атрибутами:
|
| 4 |
Щелкните Далее. |
| 5 |
Проверьте свои настройки и нажмите Готово. Ваш ключ AWS KMS создан.
|
| 6 |
Перейдите в раздел Ключи, управляемые клиентами и щелкните псевдоним или идентификатор ключа, чтобы просмотреть ARN. |
Дальнейшие действия
Мы рекомендуем вам сохранить временную копию ARN. Этот ARN используется для добавления и активации вашего ключа AWS KMS в Control Hub.
Мы также рекомендуем вам создать резервный ключ, чтобы обеспечить доступность и устойчивость данных. Это позволяет получить доступ к зашифрованным данным даже во время региональных сбоев. Для получения дополнительной информации обратитесь к разделу Создание резервной копии ключа AWS KMS в этой статье.
Прежде чем начать
Прежде чем приступить к созданию резервного ключа, убедитесь, что вы создали мультирегиональный ключ. Для получения дополнительной информации обратитесь к разделу Создание ключа AWS KMS в этой статье.
| 1 |
Войдите в AWS и перейдите в консоль AWS KMS. |
| 2 |
Выберите недавно созданный мультирегиональный ключ. |
| 3 |
В разделе Региональностьнажмите Создать новые ключи реплик. |
| 4 |
Выберите регион резервного копирования из списка регионов AWS и нажмите Далее. Например, если ключ был создан в регионе Запад США (us-west-1), рассмотрите возможность создания резервного ключа в регионе Восток США (us-east-1).
|
| 5 |
Создайте ключ со следующими атрибутами:
|
| 6 |
Щелкните Далее. |
| 7 |
Проверьте свои настройки, установите флажок подтверждения и нажмите Создать новые реплики ключей. |
Вы можете разрешить Cisco KMS доступ к вашему ключу AWS KMS, создав грант KMS или настроив роль IAM. Выберите вариант, который наилучшим образом соответствует потребностям вашей организации, чтобы обеспечить безопасную и гибкую интеграцию управления ключами.
Использование гранта KMS
Этот метод подразумевает прямое предоставление разрешений Cisco KMS на выполнение криптографических операций над вашим ключом AWS KMS.
| 1 |
Войдите в AWS и перейдите в консоль AWS CloudShell. |
| 2 |
Выполните |
Использование роли IAM
Создайте политику IAM с необходимыми разрешениями KMS, а затем прикрепите ее к роли IAM, которую может взять на себя Cisco KMS, обеспечивая безопасное и централизованное управление доступом.
Настройте политику IAM
| 1 |
Войдите в AWS и перейдите в консоль AWS KMS. |
| 2 |
Перейти к . |
| 3 |
На левой навигационной панели выберите Политики, затем нажмите Создать политику. |
| 4 |
В разделе Редактор политики выберите опцию JSON. |
| 5 |
Скопируйте и вставьте следующий политический документ. Замените |
| 6 |
Щелкните Далее. |
| 7 |
Введите Имя политики и необязательное Описание. |
| 8 |
Нажмите Создать политику. |
Настройте роль IAM
| 1 |
Войдите в AWS и перейдите в консоль AWS KMS. |
| 2 |
Перейти к . |
| 3 |
На левой навигационной панели выберите Роли, затем нажмите Создать роль. |
| 4 |
В разделе Тип доверенной сущностивыберите Учетная запись AWS. |
| 5 |
Выберите Другой аккаунт AWS. |
| 6 |
В поле Идентификатор учетной записи введите идентификатор учетной записи AWS, предоставленный в интерфейсе Control Hub. Это тот же идентификатор учетной записи, который является частью |
| 7 |
Щелкните Далее. |
| 8 |
В разделе Добавить разрешениянайдите и выберите политику IAM, которую вы только что создали. |
| 9 |
Щелкните Далее. |
| 10 |
Введите Имя роли и необязательное Описание. |
| 11 |
Проверьте свои настройки и нажмите Создать роль. |
Прежде чем начать
Перед активацией ключа AWS KMS в Control Hub необходимо создать его. См. раздел Создание ключа AWS KMS в этой статье.
Вам необходимо предоставить Webex доступ к ключу AWS KMS. См. раздел Авторизация Cisco KMS с доступом к ключу AWS KMS в этой статье.
| 1 | |
| 2 |
Перейти к и включите функцию Принесите свой ключ (BYOK). Если вы отключите BYOK, общий ключ Webex по умолчанию станет основным ключом для вашей организации. |
| 3 |
Выберите Добавить ключ AWS KMS и нажмите Далее. |
| 4 |
Получите следующие ARN из консоли AWS:
|
| 5 |
В Control Hub введите Первичный ключ ARN. Если применимо, также введите Резервный ключ ARN и Роль IAM ARN в соответствующие поля. Затем нажмите Добавить. Ваш первичный ключ ARN загружается в Cisco KMS, где проверяется доступ к ключу. Затем Control Hub покажет вам идентификатор ключа Cisco KMS вашего нового ключа AWS KMS, а также текущий активный идентификатор ключа Cisco KMS, если таковой имеется. Если это ваш первый ключ AWS KMS, то в данный момент активным ключом является общий ключ Webex по умолчанию (тот, который мы в настоящее время используем для шифрования ключей вашей организации). |
| 6 |
Выберите способ активации вашего ключа:
|
| 1 |
Войдите в Control Hubи перейдите в . |
| 2 |
Перейдите к активному ключу AWS KMS. |
| 3 |
Нажмите |
| 4 |
Введите новый ключ AWS KMS и новый ARN и нажмите Добавить. Процесс описан в разделе Добавление и активация ключа AMS KMS этой статьи.
|
| 5 |
Щелкните Активировать. Новый загруженный вами ключ AWS KMS переходит в активное состояние. Старый ключ AWS KMS останется в состоянии ротации до тех пор, пока Webex не завершит шифрование всего своего контента с помощью нового активного ключа AWS KMS. После повторного шифрования старый ключ AWS KMS автоматически исчезает из Control Hub. |
| 1 |
Войдите в Control Hubи перейдите в . |
| 2 |
Нажмите Добавить еще один ключ. |
| 3 |
Введите новый ключ AWS KMS и нажмите Добавить. Control Hub отображает идентификатор вашего нового ключа Cisco KMS AWS KMS, а также идентификатор текущего активного ключа Cisco KMS. Процесс описан в разделе Добавление и активация ключа AMS KMS этой статьи. |
| 4 |
Щелкните Активировать. Новый загруженный вами ключ AWS KMS переходит в активное состояние. Старый ключ AWS KMS останется в состоянии ротации до тех пор, пока Webex не завершит шифрование всего своего контента с помощью нового активного ключа AWS KMS. После повторного шифрования старый ключ AWS KMS автоматически исчезает из Control Hub. |
| 1 |
Войдите в Control Hubи перейдите в . |
| 2 |
Перейдите к активному в данный момент ключу AWS KMS. |
| 3 |
Нажмите |
| 4 |
Подтвердите отзыв ключа. Полный отзыв ключа может занять до 10 минут. Ключ AWS KMS переходит в состояние «Локально отозван».
|
Если администратор вашего клиента отзывает ключ из консоли AWS KMS, то ключ AWS KMS отображается в состоянии «Отозван Amazon» в Control Hub.
| 1 |
Войдите в Control Hubи перейдите в . |
| 2 |
Перейдите к отозванному ключу AWS KMS. |
| 3 |
Нажмите |
| 4 |
Подтвердите удаление ключа. После удаления вы сможете восстановить ключ в течение 30 дней. |
Мы рекомендуем сначала удалить ключ AWS KMS из Control Hub, прежде чем удалять CMK из консоли AWS. Если вы удалите свой CMK из консоли AWS до удаления ключа AWS KMS в Control Hub, вы можете столкнуться с проблемами.
Перед удалением CMK из консоли AWS убедитесь, что ключ AWS KMS больше не отображается в Control Hub.
| 1 |
Войдите в Control Hubи перейдите в . |
| 2 |
Перейдите к удаленному ключу AWS KMS. |
| 3 |
Нажмите |
| 4 |
Подтвердите восстановление ключа. После восстановления Control Hub отобразит ключ в состоянии «Отозван». |
Если у вас возникли проблемы с ключом AWS KMS, воспользуйтесь следующей информацией для устранения неполадок.
-
ARN ключа AWS KMS. Например,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Состояние ключа AWS KMS. Например, ключ AWS KMS отключен.
В этом примере используются инструменты командной строки OpenSSL версии 3.0. Подробнее об этих инструментах см. OpenSSL.
| 1 | |
| 2 |
Перейти к . |
| 3 |
Нажмите Загрузить открытый ключ. Открытый ключ Webex HSM вы получаете в файле .pem в своей локальной системе. |
| 4 |
Создайте 256-битный (32-байтовый) ключ: В примере используется имя файла main_key.bin для вашего незашифрованного нового ключа. В качестве альтернативы вы можете сгенерировать 32-байтовое случайное значение с помощью шестнадцатеричного дампа, Python или онлайн-генераторов. Вы также можете создать и управлять своим ключом AWS KMS. |
| 5 |
Используйте открытый ключ Webex HSM для шифрования нового ключа: В примере используется имя файла main_key_encrypted.bin для зашифрованного выходного ключа и имя файла path/to/public.pem для открытого ключа Webex. Зашифрованный ключ готов к загрузке в Control Hub. |
