Управляйте своим основным клиентским ключом

Об основных ключах клиента

В рамках нашей приверженности обеспечению сквозной безопасности Webex хранит главный ключ от имени каждой организации. Мы называем его основным ключом, потому что он не шифрует контент напрямую, а используется для шифрования других ключей вашей организации, которые шифруют контент. Базовый уровень иерархии ключей называется ключом содержимого (CK), а промежуточные уровни ключей - ключами шифрования ключей (KEK).

Мы понимаем, что некоторые организации предпочитают управлять собственной безопасностью, поэтому мы даем вам возможность управлять собственным основным ключом клиента (CMK). Это означает, что вы берете на себя ответственность за создание и поворот (перешифрование) главного ключа, который Webex использует для шифрования ключей шифрования контента.

В дальнейшем ключ относится к CMK, если не указано иное.

Принцип работы

Webex хранит ваш CMK в аппаратном модуле безопасности (HSM), поэтому службы Webex не имеют доступа к значению CMK.
Control Hub показывает текущий активный или отозванный CMK, а также все ожидающие обработки CMK, которые хранятся в HSM. При необходимости повернуть (перешифровать) CMK необходимо создать новый CMK и зашифровать его с помощью открытого ключа HSM, чтобы только HSM мог расшифровать и хранить его.
Затем вы загружаете и активируете новый CMK в Control Hub. Webex немедленно начинает использовать новый CMK для шифрования ключей содержимого. Webex сохраняет старый CMK, но только до тех пор, пока не будет обеспечена защита ключей шифрования контента с помощью нового CMK.

Мы не перешифровываем весь существующий контент задним числом. После активации CMK весь новый контент (пространства и совещания) будет перешифрован и защищен.

О ключах AWS KMS

Мы понимаем, что некоторые организации предпочитают управлять собственным ключом вне Webex. Поэтому мы предоставляем вам возможность управлять собственным CMK в службе управления ключами (KMS) Amazon Web Services (AWS). Это означает, что вы несете ответственность за управление ключами в AWS KMS. Вы разрешаете Webex шифровать и расшифровать с помощью ключа AWS KMS с помощью консоли AWS. Вы предоставляете Webex идентификатор ключа AWS KMS вместо CMK. Это означает, что вы берете на себя ответственность за создание и поворот (перешифрование) ключа AWS KMS, который Webex использует для шифрования ключей шифрования контента в облаке.

Принцип работы

Ключ создается с помощью AWS. AWS KMS используется для управления вашим ключом и хранит его в аппаратном модуле безопасности (HSM).
Вы предоставляете Webex доступ к использованию ключа AWS KMS через консоль AWS.

Это означает, что вместо загрузки CMK в Control Hub вы предоставляете Webex доступ к клавише KMS AWS. Ключ AWS KMS не покидает ваш AWS KMS, и службы Webex не имеют доступа к материалу ключа AWS KMS.

В Control Hub отображается ваш активный или отозванный ключ AWS KMS, а также любой находящийся на рассмотрении ключ AWS KMS, который хранится в KMS AWS. Если необходимо повернуть ключ AWS KMS, вы создаете новый ключ AWS KMS с помощью консоли AWS KMS.
Затем вы добавляете и активируете новый ключ KMS AWS в Control Hub, предоставляя ему имя ресурса Amazon (ARN) нового ключа KMS AWS. Webex немедленно начинает использовать новый ключ AWS KMS для шифрования ключей контента. Webex больше не требуется старый ключ AWS KMS. Старый ключ AWS KMS исчезнет из Control Hub после поворота ключей шифрования контента и их защиты новым ключом AWS KMS. Webex не удаляет ключ AWS KMS из AWS KMS. Администратор клиента может удалить ключ из KMS AWS.

Ключевые состояния и жизненный цикл

Ключевой жизненный цикл

Ключевые определения состояния

Рассматривается

Ключ в этом состоянии хранится в HSM, но еще не используется для шифрования. Webex не использует этот CMK для шифрования.

В этом состоянии может находиться только один ключ.

Активные

В настоящее время Webex использует этот CMK для шифрования других ключей вашей организации.

В этом состоянии может находиться только один ключ.

Вращение

Webex временно использует этот CMK. Он нужен Webex для расшифровки ваших данных и ключей, которые ранее были зашифрованы этим ключом. Этот ключ отменяется после завершения вращения (перешифрования).

В этом состоянии могут находиться несколько ключей, если новый ключ активирован до завершения вращения.

Использование прекращено

Webex не использует этот CMK. Этот ключ больше не используется для шифрования. Устанавливается время жизни ключа, после которого этот ключ удаляется из HSM.

Аннулировано

Webex не использует этот CMK. Даже если с помощью этого ключа были зашифрованы данные и ключи, Webex не сможет использовать его для дешифрования данных и ключей.

Вам нужно отозвать активный ключ только в том случае, если вы подозреваете, что он взломан. Это серьезное решение, поскольку оно мешает правильному функционированию многих операций. Например, вы не сможете создавать новые пространства и не сможете расшифровать какой-либо контент в Webex Client.
В этом состоянии может находиться только один ключ. Для поворота (перешифрования) нового ключа необходимо повторно активировать этот ключ.
Этот CMK можно удалить, но удалять его не нужно. Возможно, вы захотите сохранить его для расшифровки или повторного шифрования после устранения предполагаемого нарушения безопасности.

Удалено

Webex не использует этот CMK. Поведение в этом состоянии такое же, как и в состоянии Revoked, за исключением того, что устанавливается время жизни ключа, после которого этот ключ удаляется из HSM.

Если удаленный CMK переходит в состояние «Удалено», необходимо восстановить исходный ключ, чтобы восстановить функциональность организации.

Мы рекомендуем вам сохранить резервную копию исходного ключа, иначе ваша организация перестанет работать.

Удалено

Это логичное состояние. Webex не хранит этот CMK в HSM. Он не отображается в Control Hub.

Требования

Право собственности

Став владельцем CMK, вы должны:

Возьмите на себя ответственность за безопасное создание и резервное копирование ключей
Осознайте последствия потери ключей
Повторное шифрование активного CMK не реже одного раза в год в качестве оптимальной практики

Создание ключа

Используя эти параметры, вы должны создать свой собственный CMK. Ваш ключ должен быть:

Длина 256 бит (32 байта)
Зашифровано по схеме RSA-OAEP
Зашифровано с помощью открытого ключа Webex Cloud HSM

Ваше программное обеспечение для генерации ключей должно обеспечивать:

Хеш-функция SHA-256
Функция генерации маски MGF1
Заполнение PKCS # 1 OAEP

Обратитесь к Пример: Создание и шифрование ключей с помощью OpenSSL на вкладке Ресурсы в этой статье.

Авторизация

У вас должен быть доступ к вашей организации Webex в Control Hub. Вы должны быть полный администратор для управления вашим CMK.

Создайте и активируйте основной ключ клиента

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами . Чтобы включить BYOK, переключите Принесите свой ключ (BYOK) на. Если вы отключите BYOK, Общий ключ по умолчанию Webex становится главным ключом для вашей организации.
3.	Выберите Загрузить пользовательский ключ и нажмите Далее.
4.	Щелкните Скачать публичный ключ . Сохраните открытый ключ Webex HSM в файле .pem в локальной системе.
5	Создайте криптографически безопасный 256-битный (32-байтовый) случайный ключ с помощью программного обеспечения для управления ключами.
6	Используйте открытый ключ Webex HSM для шифрования нового ключа. Необходимые параметры шифрования: Схема RSA-OAEP Хеш-функция SHA-256 Функция генерации маски MGF1 Заполнение PKCS # 1 OAEP Обратитесь к Пример: Создание и шифрование ключей с помощью OpenSSL на вкладке Ресурсы в этой статье.
7.	Перетащите зашифрованный ключ из файловой системы в область загрузки интерфейса Control Hub или щелкните Выберите файл .
8	Щелкните Далее. Webex загружает ваш ключ в HSM, где он расшифровывается и проверяется. Затем Control Hub покажет вам идентификатор вашего нового CMK и идентификатор текущего активного CMK, если таковой имеется. Если это ваш первый CMK, активным в данный момент ключом будет Общий ключ по умолчанию Webex (тот, который мы в настоящее время используем для шифрования ключей вашей организации).
9	Выберите способ активации ключа: Активировать новый ключ : Новый CMK немедленно переходит в активное состояние. Ранее активный CMK переходит в состояние Rotation (Reencrypting state), пока весь контент не будет защищен новым CMK, после чего Webex удалит ранее активный CMK. Активировать позже : Новый CMK переходит в состояние ожидания. Webex сохраняет этот CMK в HSM, но пока не использует его. Webex продолжает использовать активную в данный момент CMK для шифрования ключей вашей организации.

Дальнейшие действия

Поверните ключ

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами .
3.	Перейдите к активному CMK.
4.	Щелкните и выберите Повернуть.
5	Создайте и зашифруйте новый ключ (если вы этого еще не сделали). Процесс описан в Создайте и активируйте основной ключ клиента в этой статье.
6	Перетащите новый ключ из файловой системы и переместите его в Control Hub.
7.	Щелкните Активировать новый ключ . Новый загруженный вами ключ переходит в активное состояние. Старый CMK остается в режиме вращения (состояние перешифрования) до тех пор, пока Webex не завершит шифрование всего своего контента с помощью нового активного CMK. После повторного шифрования ключ переходит в состояние "Пенсионер". Затем Webex удаляет старый CMK.

Отозвать свой ключ

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами .
3.	Перейдите к активному ключу.
4.	Щелкните и выберите Отозвать.
5	Подтвердите отзыв ключа. Полный отзыв ключа может длиться до 10 минут.

Повторно активируйте отозванный ключ

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами .
3.	Перейдите к отозванному в данный момент ключу.
4.	Щелкните и выберите Активировать.
5	Подтвердите активацию ключа. Ранее отозванный ключ переходит в активное состояние.

Удалите отозванный ключ

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами .
3.	Перейдите к отозванному ключу.
4.	Щелкните и выберите Удалить.
5	Подтвердите удаление ключа. После удаления ключ можно восстановить в течение 30 дней.

Восстановление отозванного ключа

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами .
3.	Перейдите к удаленному ключу.
4.	Щелкните и выберите Отменить удаление.
5	Подтвердите восстановление ключа. После восстановления в Control Hub ключ отображается в состоянии «Отозвано» до его удаления. Например, если удалить отозванный ключ, а затем восстановить его, в Control Hub восстановленный ключ будет отображаться в состоянии "Отозвано".

Требования

Право собственности

Взяв на себя ответственность за ключ AWS KMS, вы должны:

Возьмите на себя ответственность за безопасное создание и резервное копирование ключей AWS KMS.
Осознайте последствия потери ключей AWS KMS.
Перешифруйте активный ключ AMS KMS не реже одного раза в год в качестве оптимальной практики.

Авторизация

Необходимо авторизовать создание ключей и управление ими в KMS AWS для вашей организации Webex.
У вас должен быть доступ к вашей организации Webex в Control Hub. Вы должны быть администратором с полными правами для управления ключом AWS KMS.

Создание ключа AWS KMS

1.	Войдите в AWS и перейдите к консоли AWS KMS.
2.	Выберите Управляемые клиентом ключи и нажмите Создать ключ.
3.	Создайте ключ со следующими атрибутами: Тип ключа — выберите Symmetric. Использование ключа. Выберите Шифровать и расшифровать. Метки — введите псевдоним, описание и теги. Ключевые администраторы. Выберите ключевых администраторов вашей организации. Удаление ключа. Установите флажок Разрешить администраторам ключей удалять этот ключ. Ключевые пользователи. Выберите ключевых пользователей и роли вашей организации.
4.	Щелкните Далее.
5	Проверьте настройки и нажмите Готово. Ключ AWS KMS создан.
6	Перейдите в раздел Управляемые клиентом ключи и щелкните псевдоним или идентификатор ключа, чтобы просмотреть ARN.

Дальнейшие действия

Рекомендуется хранить временную копию ARN. Этот ARN используется для добавления и активации ключа AWS KMS в Control Hub.

Авторизация Cisco KMS с доступом к ключу AWS KMS

Войдите в AWS и перейдите к консоли AWS CloudShell.

Выполните команду create-grant авторизация Webex приведенным ниже образом.

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Пример.

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Файл KMS_CISCO_USER_ARN является специфическим для вашей организации. ARN отображается в окне "Добавление ключа AWS" при активации нового ключа AWK KMS в Control Hub.

Добавление и активация ключа AWS KMS

Перед началом работы

Перед активацией в Control Hub необходимо создать ключ AWS KMS. См. статью Создание ключа AWS KMS в этой статье.

Необходимо предоставить Webex доступ к клавише AWS KMS. См. статью Авторизация Cisco KMS с доступом к ключу AWS KMS в этой статье.

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами, а затем включите параметр Bring Your Own Key (BYOK) . Если вы отключите BYOK, Общий ключ по умолчанию Webex становится главным ключом для вашей организации.
3.	Выберите Добавить ключ AWS KMS и нажмите Далее.
4.	Получите ARN из консоли AWS.
5	Введите ARN в Control Hub и щелкните Добавить. ARN ключа загружается в Cisco KMS, где доступ к ключу проверяется. Затем в Control Hub отображается идентификатор ключа Cisco KMS нового ключа AWS KMS и действующий идентификатор ключа Cisco KMS, если таковой имеется. Если это первый ключ AWS KMS, активным в данный момент является общий ключ Webex по умолчанию (используемый в настоящее время для шифрования ключей вашей организации).
6	Выберите способ активации ключа: Активировать: Новый ключ AWS KMS немедленно переходит в состояние «Активен». Активировать позже : Новый ключ AWS KMS переходит в состояние «Ожидание». Webex сохраняет этот ARN ключа AWS KMS в Cisco KMS, но пока не использует его. Webex продолжает использовать активный ключ AWS KMS для шифрования ключей вашей организации.

Повернуть ключ AWS KMS

1.	Войдите в Control Hub и перейдите к Настройки организации > Управление ключами.
2.	Перейдите к активной клавише AWS KMS.
3.	Щелкните и выберите Повернуть.
4.	Введите новый ключ AWS KMS и новый ARN и нажмите Добавить. Процесс описан в статье Добавление и активация ключа AMS KMS .
5	Щелкните Активировать. Загруженный новый ключ AWS KMS переходит в состояние "Активен". Старый ключ AWS KMS остается в режиме вращения до тех пор, пока Webex не завершит шифрование всего содержимого с помощью нового активного ключа AWS KMS. После перешифрования старый ключ AWS KMS автоматически исчезает из Control Hub.

Поверните, чтобы добавить еще один ключ AWS KMS (необязательно)

1.	Войдите в Control Hub и перейдите к Настройки организации > Управление ключами.
2.	Щелкните Добавить другой ключ.
3.	Введите новый ключ AWS KMS и нажмите Добавить. В Control Hub отображается идентификатор ключа Cisco KMS нового ключа AWS KMS и идентификатор активного ключа Cisco KMS. Процесс описан в статье Добавление и активация ключа AMS KMS .
4.	Щелкните Активировать. Загруженный новый ключ AWS KMS переходит в состояние "Активен". Старый ключ AWS KMS остается в режиме вращения до тех пор, пока Webex не завершит шифрование всего содержимого с помощью нового активного ключа AWS KMS. После перешифрования старый ключ AWS KMS автоматически исчезает из Control Hub.

Отозвать ключ AWS KMS

1.	Войдите в Control Hub и перейдите к Настройки организации > Управление ключами.
2.	Перейдите к активной клавише AWS KMS.
3.	Щелкните и выберите Отозвать локально.
4.	Подтвердите отзыв ключа. Полный отзыв ключа может длиться до 10 минут. Ключ AWS KMS переходит в состояние локального отзыва.

Если администратор клиента отозвал ключ из консоли AWS KMS, ключ AWS KMS отображается в состоянии "Отозвано от Amazon" в Control Hub.

Удаление ключа AWS KMS

1.	Войдите в Control Hub и перейдите к Настройки организации > Управление ключами.
2.	Перейдите к отозванному ключу AWS KMS.
3.	Щелкните и выберите Удалить.
4.	Подтвердите удаление ключа. После удаления ключ можно восстановить в течение 30 дней.

Перед удалением CMK из консоли AWS рекомендуется сначала удалить ключ KMS из Control Hub. При удалении CMK из консоли AWS до удаления ключа AWS KMS в Control Hub могут возникнуть проблемы.

Перед удалением CMK из консоли AWS убедитесь, что ключ AWS KMS больше не отображается в Control Hub.

Восстановление ключа AWS KMS

1.	Войдите в Control Hub и перейдите к Настройки организации > Управление ключами.
2.	Перейдите к удаленному ключу AWS KMS.
3.	Щелкните и выберите Отменить удаление.
4.	Подтвердите восстановление ключа. После восстановления в Control Hub ключ будет отображаться в состоянии "Отозвано".

Устранение неполадок ключа AWS KMS

При возникновении проблем с ключом AWS KMS используйте приведенную ниже информацию для устранения неполадок.

ARN ключа AWS KMS. Например: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Предоставление ключа AWS KMS.
Состояние ключа AWS KMS. Например, ключ AWS KMS отключен.

Пример. Создание и шифрование ключей с помощью OpenSSL

В этом примере используются инструменты командной строки OpenSSL версии 3.0. См. OpenSSL для получения дополнительной информации об этих инструментах.

1.	Войдите в Control Hub.
2.	Перейти к Настройки организации > Управление ключами .
3.	Щелкните Скачать публичный ключ . Открытый ключ Webex HSM предоставляется в виде файла .pem в локальной системе.
4.	Создайте 256-битный (32-байтовый) ключ: `openssl rand 32 -out main_key.bin` В примере используется имя файлаmain_key .bin для вашего незашифрованного нового ключа.
5	Используйте открытый ключ Webex HSM для шифрования нового ключа. `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` В примере используется имя файлаmain_key_encrypted .bin для зашифрованного выходного ключа и имени файла путь / к / public.pem для открытого ключа Webex . Зашифрованный ключ готов к загрузке в Control Hub.