Благодарим вас за обратную связь.
Управление собственным главным ключом клиента
Отправить обратную связь?
В рамках нашего обязательства по обеспечению сквозной безопасности Webex хранит главный ключ от имени каждой организации. Мы называем его главным ключом, поскольку он не шифрует контент напрямую, но используется для шифрования других ключей вашей организации, которые шифруют контент. Базовый уровень иерархии ключей называется ключом содержимого (CK), а промежуточные уровни ключей называются ключами шифрования ключей (KEK).
Мы понимаем, что некоторые организации предпочитают управлять собственной безопасностью, поэтому предоставляется возможность управления собственным главным ключом клиента (CMK). Это означает, что вы несете ответственность за создание и замена (повторное шифрование) главного ключа, который Webex использует для шифрования ключей шифрования контента.
В дальнейшем ключ относится к CMK, если не указано иное.
Принцип работы
-
Webex сохраняет CMK в аппаратном модуле безопасности (HSM), чтобы службы Webex не имели доступа к значению CMK.
-
В Control Hub отображаются ваши текущие активные или отозванные CMK и все ожидающие CMK, сохраненные в HSM. При необходимости вращения (повторного шифрования) CMK создается новый CMK и шифрует его с помощью открытого ключа HSM, чтобы только HSM мог расшифровать и сохранить его.
-
Затем загрузите и активируйте новую CMK в Control Hub. Webex немедленно начинает использовать новый CMK для шифрования ключей контента. Webex сохраняет старый CMK, но только до тех пор, пока не будет гарантировано, что ключи шифрования контента будут защищены новым CMK.
Мы понимаем, что некоторые организации предпочитают управлять собственным ключом вне Webex. Поэтому мы предоставляем вам возможность управлять собственным CMK в службе управления ключами (KMS) веб-служб Amazon (AWS). Это означает, что вы несете ответственность за управление ключами в KMS AWS. Вы авторизуете Webex на шифрование и расшифровку с помощью ключа KMS AWS с помощью консоли AWS. Вы предоставляете Webex идентификатор ключа KMS AWS вместо CMK. Это означает, что вы несете ответственность за создание и замена (повторное шифрование) ключа KMS AWS, который Webex использует для шифрования ключей шифрования контента в облаке.
Принцип работы
-
Вы создаете ключ с помощью AWS. KMS AWS используется для управления ключом и хранения ключа в модуле безопасности аппаратного обеспечения (HSM).
-
Вы предоставляете Webex доступ к использованию ключа KMS AWS с помощью консоли AWS.
Это означает, что вместо загрузки CMK в Control Hub вы предоставляете Webex доступ к ключу KMS AWS. Ключ KMS AWS не покидает KMS AWS, и у служб Webex нет доступа к материалам ключа KMS AWS.
В Control Hub отображается ваш текущий активный или отозванный ключ KMS AWS, а также любой отложенный ключ KMS AWS, который хранится в KMS AWS. При необходимости поворота ключа KMS AWS новый ключ KMS AWS создается с помощью консоли KMS AWS.
-
Затем вы добавляете и активируете новый ключ KMS AWS в Control Hub, предоставляя ему имя ресурса Amazon (ARN) нового ключа KMS AWS. Webex немедленно начинает использовать новый ключ KMS AWS для шифрования ключей контента. Webex больше не требуется старый ключ KMS AWS. Старый ключ KMS AWS исчезнет из Control Hub после того, как ключи шифрования контента будут заменены и защищены новым ключом KMS AWS. Webex не удаляет ключ KMS AWS из KMS AWS. Администратор клиента может удалить ключ из KMS AWS.
Ключевой жизненный цикл
Определения ключевых состояний
- Ожидается рассмотрение
-
Ключ в этом состоянии хранится в HSM, но еще не используется для шифрования. Webex не использует эту CMK для шифрования.
В этом состоянии может быть только один ключ. - Активен
-
В настоящий момент Webex использует этот CMK для шифрования других ключей для вашей организации.
В этом состоянии может быть только один ключ. - Поворот
-
Webex временно использует эту CMK. Webex требуется расшифровать ваши данные и ключи, которые ранее были зашифрованы с помощью этого ключа. Этот ключ отключается по завершении замены (повторного шифрования).
Если новый ключ активирован до завершения замены, в этом состоянии может быть несколько ключей. - Использование прекращено
-
Webex не использует эту CMK. Этот ключ больше не используется для шифрования. Задано время жизни ключа, после чего этот ключ будет удален из HSM.
- Отозвано
-
Webex не использует эту CMK. Даже если с помощью этого ключа были зашифрованы данные и ключи, Webex не сможет использовать его для расшифровки данных и ключей.
- Отозвать активный ключ нужно только в случае, если вы подозреваете, что он скомпрометирован. Это серьезное решение, поскольку оно не позволяет многим операциям вести себя надлежащим образом. Например, вы не сможете создавать новые пространства и расшифровать какой-либо контент в клиенте Webex.
- В этом состоянии может быть только один ключ. Для замены (повторного шифрования) нового ключа необходимо повторно активировать этот ключ.
- Этот CMK можно удалить, но его не нужно удалять. Возможно, вы захотите сохранить его для расшифровки или повторного шифрования после устранения подозрительного нарушения безопасности.
- Удалено
-
Webex не использует эту CMK. Поведение в этом состоянии совпадает с состоянием отзыва, за исключением того, что задано время жизни ключа, после которого этот ключ удаляется из HSM.
- Если удаленная CMK переходит в состояние «Удалено», для восстановления функциональных возможностей организации необходимо восстановить исходный ключ.
- Рекомендуется сохранить резервную копию исходного ключа, в противном случае ваша организация больше не будет функционировать.
- Удалено
-
Это логическое состояние. В Webex этот CMK не хранится в HSM. Он не отображается в Control Hub.
Право собственности
Получив право собственности на CMK, вы должны:
- Возьмите на себя ответственность за безопасное создание и резервное копирование ключей
- Понимание последствий потери ключей
- Выполните повторное шифрование активного CMK не менее одного раза в год в качестве рекомендации
Создание ключа
С помощью этих параметров необходимо создать собственный CMK. Ваш ключ должен быть:
- 256 бит (32 байта) в длину
- Зашифровано с помощью схемы RSA-OAEP
- Зашифровано с помощью открытого ключа HSM в облаке Webex
Программное обеспечение для генерации ключей должно иметь следующие возможности:
- Хеш-функция SHA-256
- Функция создания маски MGF1
- Отступ PKCS#1 OAEP
См. пример. Создайте и шифруйте ключи с помощью OpenSSL на вкладке "Ресурсы" в этой статье.
Авторизация
У вас должен быть доступ к организации Webex в Control Hub. Для управления CMK необходимо быть администратором с полными правами .
| 1 | |
| 2 |
Перейдите к меню . Чтобы включить функцию BYOK, включите параметр Использование собственного ключа (BYOK) . При отключении функции BYOK общий ключ Webex по умолчанию становится главным ключом вашей организации. |
| 3 |
Выберите Загрузить пользовательский ключ и щелкните Далее. |
| 4 |
Щелкните Скачать открытый ключ. Сохраните открытый ключ Webex HSM в файле .pem в локальной системе. |
| 5 |
Создайте криптографически безопасный 256-битный (32 байта) случайный ключ с помощью программного обеспечения для управления ключами. |
| 6 |
Для шифрования нового ключа используйте открытый ключ Webex HSM. Обязательные параметры шифрования:
См. пример. Создайте и шифруйте ключи с помощью OpenSSL на вкладке "Ресурсы" в этой статье.
|
| 7 |
Перетащите зашифрованный ключ из файловой системы в область загрузки интерфейса Control Hub или щелкните Выбрать файл. |
| 8 |
Щелкните Далее. Webex загружает ваш ключ в HSM, где он расшифровывается и проверяется. Затем в Control Hub отображаются идентификатор новой CMK и идентификатор текущей активной CMK, если таковой имеется. Если это ваш первый CMK, в настоящий момент активным ключом является общий ключ Webex по умолчанию (который в настоящий момент используется для шифрования ключей вашей организации). |
| 9 |
Выберите способ активации ключа.
|
Дальнейшие действия
| 1 | |
| 2 |
Перейдите к меню . |
| 3 |
Перейдите к активной CMK. |
| 4 |
Щелкните |
| 5 |
Создайте и зашифруйте новый ключ (если вы этого еще не сделали). Процесс описан в статье Создание и активация главного ключа клиента .
|
| 6 |
Перетащите новый ключ из файловой системы в Control Hub. |
| 7 |
Щелкните Активировать новый ключ. Новый загруженный ключ переходит в активное состояние. Старый CMK остается в состоянии замены (повторное шифрование), пока Webex не завершит шифрование всего своего контента новым активным CMK. После повторного шифрования ключ переходит в состояние "Прекращено". Затем Webex удалит старый CMK. |
и выберите | 1 | |
| 2 |
Перейдите к меню . |
| 3 |
Перейдите к удаленному ключу. |
| 4 |
Щелкните |
| 5 |
Подтвердите восстановление ключа. После восстановления ключ будет отображен в Control Hub в состоянии "Отозван" перед его удалением. Например, если удалить отозванный ключ и затем восстановить ключ, восстановленный ключ будет отображаться в Control Hub в состоянии "Отозван".
|
Право собственности
Получив право собственности на ключ KMS AWS, необходимо выполнить приведенные ниже действия.
- Примите ответственность за безопасное создание и резервное копирование ключей KMS AWS.
- Изучите последствия потери ключей KMS AWS.
- Рекомендуется повторно шифровать активный ключ KMS AMS по меньшей мере один раз в год.
Авторизация
- Для создания ключей и управления ими в KMS AWS для вашей организации Webex вы должны быть авторизованы.
- У вас должен быть доступ к организации Webex в Control Hub. Для управления ключом KMS AWS необходимо быть администратором с полными правами .
| 1 |
Войдите в AWS и перейдите к консоли KMS AWS. |
| 2 |
Выберите Управляемые клиентом ключи и щелкните Создать ключ. |
| 3 |
Создайте ключ со следующими атрибутами:
|
| 4 |
Щелкните Далее. |
| 5 |
Просмотрите настройки и щелкните Готово. Ваш ключ KMS AWS создан.
|
| 6 |
Перейдите к разделу Управляемые клиентом ключи и щелкните псевдоним или идентификатор ключа, чтобы просмотреть ARN. |
Дальнейшие действия
Рекомендуется сохранить временную копию РНК. Эта ARN используется для добавления и активации ключа KMS AWS в Control Hub.
| 1 |
Войдите в AWS и перейдите к консоли AWS CloudShell. |
| 2 |
Запустите ARN пользователя KMS_CISCO_KMS_USER относится к вашей организации. ARN отображается в окне добавления ключа AWS при активации нового ключа KMS AWK в Control Hub. |
Перед началом работы
Перед активацией в Control Hub необходимо создать ключ KMS AWS. См. статью Создание ключа KMS AWS в этой статье.
Необходимо предоставить Webex доступ к ключу KMS AWS. См. статью Авторизация Cisco KMS с доступом к ключу KMS AWS в этой статье.
| 1 | |
| 2 |
Перейдите к меню и включите параметр Использование собственного ключа (BYOK) . При отключении функции BYOK общий ключ Webex по умолчанию становится главным ключом вашей организации. |
| 3 |
Выберите Добавить ключ KMS AWS и щелкните Далее. |
| 4 |
Получите ARN с консоли AWS. |
| 5 |
Введите ARN в Control Hub и щелкните Добавить. Ваш ключ ARN загружается в Cisco KMS, где выполняется проверка доступа к ключу. Затем в Control Hub будет отображен идентификатор ключа Cisco KMS нового ключа KMS AWS и идентификатор текущего ключа Cisco KMS, если таковой имеется. Если это ваш первый ключ KMS AWS, в настоящий момент активным ключом является общий ключ Webex по умолчанию (который в настоящий момент используется для шифрования ключей вашей организации). |
| 6 |
Выберите способ активации ключа.
|
| 1 |
Войдите в Control Hub и перейдите к меню . |
| 2 |
Перейдите к активному ключу KMS AWS. |
| 3 |
Щелкните |
| 4 |
Введите новый ключ KMS AWS и новый ARN и щелкните Добавить. Процесс описан в статье Добавление и активация ключа KMS AMS .
|
| 5 |
Щелкните Активировать. Новый загруженный ключ KMS AWS переходит в активное состояние. Старый ключ KMS AWS остается в состоянии замены, пока Webex не завершит шифрование всего своего контента новым активным ключом KMS AWS. После повторного шифрования старый ключ KMS AWS автоматически исчезает из Control Hub. |
| 1 |
Войдите в Control Hub и перейдите к меню . |
| 2 |
Щелкните Добавить другой ключ. |
| 3 |
Введите новый ключ KMS AWS и щелкните Добавить. В Control Hub отображается идентификатор ключа Cisco KMS нового ключа KMS AWS, а также идентификатор активного в данный момент идентификатора ключа Cisco KMS. Процесс описан в статье Добавление и активация ключа KMS AMS . |
| 4 |
Щелкните Активировать. Новый загруженный ключ KMS AWS переходит в активное состояние. Старый ключ KMS AWS остается в состоянии замены, пока Webex не завершит шифрование всего своего контента новым активным ключом KMS AWS. После повторного шифрования старый ключ KMS AWS автоматически исчезает из Control Hub. |
| 1 |
Войдите в Control Hub и перейдите к меню . |
| 2 |
Перейдите к текущему активному ключу KMS AWS. |
| 3 |
Щелкните |
| 4 |
Подтвердите отзыв ключа. Для полного отзыва ключа может потребоваться до 10 минут. Ключ KMS AWS переходит в состояние "Локально отозван".
|
Если администратор клиента отозвал ключ с консоли KMS AWS, ключ KMS AWS будет отображаться в состоянии "Отозван Amazon" в Control Hub.
| 1 |
Войдите в Control Hub и перейдите к меню . |
| 2 |
Перейдите к отозванному ключу KMS AWS. |
| 3 |
Щелкните |
| 4 |
Подтвердите удаление ключа. После удаления ключ можно восстановить в течение 30 дней. |
Рекомендуется сначала удалить ключ KMS AWS из Control Hub, прежде чем удалить CMK из консоли AWS. При удалении CMK из консоли AWS перед удалением ключа KMS AWS в Control Hub могут возникнуть проблемы.
Прежде чем удалить CMK из консоли AWS, убедитесь, что ключ KMS AWS больше не отображается в Control Hub.
| 1 |
Войдите в Control Hub и перейдите к меню . |
| 2 |
Перейдите к удаленному ключу KMS AWS. |
| 3 |
Щелкните |
| 4 |
Подтвердите восстановление ключа. После восстановления ключ будет отображен в Control Hub в состоянии "Отозван". |
При возникновении проблем с ключом KMS AWS используйте для устранения неполадок приведенную ниже информацию.
-
ARN ключа KMS AWS. Например,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Состояние ключа KMS AWS. Например, ключ KMS AWS отключен.
В этом примере используется версия 3.0 инструментов командной строки OpenSSL. Дополнительную информацию об этих инструментах см. в статье OpenSSL .
| 1 | |
| 2 |
Перейдите к меню . |
| 3 |
Щелкните Скачать открытый ключ. Вы получите открытый ключ Webex HSM в файле .pem в локальной системе. |
| 4 |
Создайте 256-битный (32 байта) ключ: В примере для вашего незашифрованного нового ключа используется имя файла main_key.bin . Кроме того, можно создать 32-байтное случайное значение с помощью шестнадцатеричного дампа, Python или онлайн-генераторов. Также можно создать ключ KMS AWS и управлять им. |
| 5 |
Используйте открытый ключ Webex HSM для шифрования нового ключа: В примере для зашифрованного ключа вывода используется имя файла main_key_encrypted.bin , а для открытого ключа Webex – path/to/public.pem . Зашифрованный ключ готов к загрузке в Control Hub. |
