По умолчанию Webex безопасен, и у нас есть главный ключ для шифрования всех ключей шифрования вашей организации. Если вы предпочитаете управлять основным ключом вашей организации, вы можете сделать это с помощью Control Hub и предпочитаемых вами инструментов управления ключами.
В рамках нашей приверженности обеспечению сквозной безопасности Webex хранит главный ключ от имени каждой организации. Мы называем его основным ключом, потому что он не шифрует контент напрямую, а используется для шифрования других ключей вашей организации, которые шифруют контент. Базовый уровень иерархии ключей называется ключом содержимого (CK), а промежуточные уровни ключей - ключами шифрования ключей (KEK).
Мы понимаем, что некоторые организации предпочитают управлять собственной безопасностью, поэтому мы даем вам возможность управлять собственным основным ключом клиента (CMK). Это означает, что вы берете на себя ответственность за создание и поворот (перешифрование) главного ключа, который Webex использует для шифрования ключей шифрования контента.
В дальнейшем ключ относится к CMK, если не указано иное.
Принцип работы
Webex хранит ваш CMK в аппаратном модуле безопасности (HSM), поэтому службы Webex не имеют доступа к значению CMK.
Control Hub показывает текущий активный или отозванный CMK, а также все ожидающие обработки CMK, которые хранятся в HSM. При необходимости повернуть (перешифровать) CMK необходимо создать новый CMK и зашифровать его с помощью открытого ключа HSM, чтобы только HSM мог расшифровать и хранить его.
Затем вы загружаете и активируете новый CMK в Control Hub. Webex немедленно начинает использовать новый CMK для шифрования ключей содержимого. Webex сохраняет старый CMK, но только до тех пор, пока не будет обеспечена защита ключей шифрования контента с помощью нового CMK.
Мы не перешифровываем весь существующий контент задним числом. После активации CMK весь новый контент (пространства и совещания) будет перешифрован и защищен. |
Мы понимаем, что некоторые организации предпочитают управлять собственным ключом вне Webex. Поэтому мы предоставляем вам возможность управлять собственным CMK в службе управления ключами (KMS) Amazon Web Services (AWS). Это означает, что вы несете ответственность за управление ключами в AWS KMS. Вы разрешаете Webex шифровать и расшифровать с помощью ключа AWS KMS с помощью консоли AWS. Вы предоставляете Webex идентификатор ключа AWS KMS вместо CMK. Это означает, что вы берете на себя ответственность за создание и поворот (перешифрование) ключа AWS KMS, который Webex использует для шифрования ключей шифрования контента в облаке.
Принцип работы
Ключ создается с помощью AWS. AWS KMS используется для управления вашим ключом и хранит его в аппаратном модуле безопасности (HSM).
Вы предоставляете Webex доступ к использованию ключа AWS KMS через консоль AWS.
Это означает, что вместо загрузки CMK в Control Hub вы предоставляете Webex доступ к клавише KMS AWS. Ключ AWS KMS не покидает ваш AWS KMS, и службы Webex не имеют доступа к материалу ключа AWS KMS.
В Control Hub отображается ваш активный или отозванный ключ AWS KMS, а также любой находящийся на рассмотрении ключ AWS KMS, который хранится в KMS AWS. Если необходимо повернуть ключ AWS KMS, вы создаете новый ключ AWS KMS с помощью консоли AWS KMS.
Затем вы добавляете и активируете новый ключ KMS AWS в Control Hub, предоставляя ему имя ресурса Amazon (ARN) нового ключа KMS AWS. Webex немедленно начинает использовать новый ключ AWS KMS для шифрования ключей контента. Webex больше не требуется старый ключ AWS KMS. Старый ключ AWS KMS исчезнет из Control Hub после поворота ключей шифрования контента и их защиты новым ключом AWS KMS. Webex не удаляет ключ AWS KMS из AWS KMS. Администратор клиента может удалить ключ из KMS AWS.
Ключевой жизненный цикл
Ключевые определения состояния
- Рассматривается
-
Ключ в этом состоянии хранится в HSM, но еще не используется для шифрования. Webex не использует этот CMK для шифрования.
В этом состоянии может находиться только один ключ. - Активные
-
В настоящее время Webex использует этот CMK для шифрования других ключей вашей организации.
В этом состоянии может находиться только один ключ. - Вращение
-
Webex временно использует этот CMK. Он нужен Webex для расшифровки ваших данных и ключей, которые ранее были зашифрованы этим ключом. Этот ключ отменяется после завершения вращения (перешифрования).
В этом состоянии могут находиться несколько ключей, если новый ключ активирован до завершения вращения. - Использование прекращено
-
Webex не использует этот CMK. Этот ключ больше не используется для шифрования. Устанавливается время жизни ключа, после которого этот ключ удаляется из HSM.
- Аннулировано
-
Webex не использует этот CMK. Даже если с помощью этого ключа были зашифрованы данные и ключи, Webex не сможет использовать его для дешифрования данных и ключей.
- Вам нужно отозвать активный ключ только в том случае, если вы подозреваете, что он взломан. Это серьезное решение, поскольку оно мешает правильному функционированию многих операций. Например, вы не сможете создавать новые пространства и не сможете расшифровать какой-либо контент в Webex Client.
- В этом состоянии может находиться только один ключ. Для поворота (перешифрования) нового ключа необходимо повторно активировать этот ключ.
- Этот CMK можно удалить, но удалять его не нужно. Возможно, вы захотите сохранить его для расшифровки или повторного шифрования после устранения предполагаемого нарушения безопасности.
- Удалено
-
Webex не использует этот CMK. Поведение в этом состоянии такое же, как и в состоянии Revoked, за исключением того, что устанавливается время жизни ключа, после которого этот ключ удаляется из HSM.
- Если удаленный CMK переходит в состояние «Удалено», необходимо восстановить исходный ключ, чтобы восстановить функциональность организации.
- Мы рекомендуем вам сохранить резервную копию исходного ключа, иначе ваша организация перестанет работать.
- Удалено
-
Это логичное состояние. Webex не хранит этот CMK в HSM. Он не отображается в Control Hub.
Право собственности
Став владельцем CMK, вы должны:
- Возьмите на себя ответственность за безопасное создание и резервное копирование ключей
- Осознайте последствия потери ключей
- Повторное шифрование активного CMK не реже одного раза в год в качестве оптимальной практики
Создание ключа
Используя эти параметры, вы должны создать свой собственный CMK. Ваш ключ должен быть:
- Длина 256 бит (32 байта)
- Зашифровано по схеме RSA-OAEP
- Зашифровано с помощью открытого ключа Webex Cloud HSM
Ваше программное обеспечение для генерации ключей должно обеспечивать:
- Хеш-функция SHA-256
- Функция генерации маски MGF1
- Заполнение PKCS # 1 OAEP
Обратитесь к Пример: Создание и шифрование ключей с помощью OpenSSL на вкладке Ресурсы в этой статье.
Авторизация
У вас должен быть доступ к вашей организации Webex в Control Hub. Вы должны быть полный администратор для управления вашим CMK.
1. | |
2. | Перейти к .Чтобы включить BYOK, переключите Принесите свой ключ (BYOK) на. Если вы отключите BYOK, Общий ключ по умолчанию Webex становится главным ключом для вашей организации. |
3. | Выберите Загрузить пользовательский ключ и нажмите Далее. |
4. | Щелкните Скачать публичный ключ . Сохраните открытый ключ Webex HSM в файле .pem в локальной системе. |
5 | Создайте криптографически безопасный 256-битный (32-байтовый) случайный ключ с помощью программного обеспечения для управления ключами. |
6 | Используйте открытый ключ Webex HSM для шифрования нового ключа. Необходимые параметры шифрования:
Обратитесь к Пример: Создание и шифрование ключей с помощью OpenSSL на вкладке Ресурсы в этой статье.
|
7. | Перетащите зашифрованный ключ из файловой системы в область загрузки интерфейса Control Hub или щелкните Выберите файл . |
8 | Щелкните Далее. Webex загружает ваш ключ в HSM, где он расшифровывается и проверяется. Затем Control Hub покажет вам идентификатор вашего нового CMK и идентификатор текущего активного CMK, если таковой имеется. Если это ваш первый CMK, активным в данный момент ключом будет Общий ключ по умолчанию Webex (тот, который мы в настоящее время используем для шифрования ключей вашей организации). |
9 | Выберите способ активации ключа:
|
Дальнейшие действия
Мы не перешифровываем весь существующий контент задним числом. После активации CMK весь новый контент (пространства и совещания) будет перешифрован и защищен. |
1. | |
2. | Перейти к . |
3. | Перейдите к активному CMK. |
4. | Щелкните кнопкуи выберите Повернуть. |
5 | Создайте и зашифруйте новый ключ (если вы этого еще не сделали). Процесс описан в Создайте и активируйте основной ключ клиента в этой статье.
|
6 | Перетащите новый ключ из файловой системы и переместите его в Control Hub. |
7. | Щелкните Активировать новый ключ . Новый загруженный вами ключ переходит в активное состояние. Старый CMK остается в режиме вращения (состояние перешифрования) до тех пор, пока Webex не завершит шифрование всего своего контента с помощью нового активного CMK. После повторного шифрования ключ переходит в состояние "Пенсионер". Затем Webex удаляет старый CMK. |
1. | |
2. | Перейти к . |
3. | Перейдите к удаленному ключу. |
4. | Щелкните кнопкуи выберите Отменить удаление. |
5 | Подтвердите восстановление ключа. После восстановления в Control Hub ключ отображается в состоянии «Отозвано» до его удаления. Например, если удалить отозванный ключ, а затем восстановить его, в Control Hub восстановленный ключ будет отображаться в состоянии "Отозвано".
|
Право собственности
Взяв на себя ответственность за ключ AWS KMS, вы должны:
- Возьмите на себя ответственность за безопасное создание и резервное копирование ключей AWS KMS.
- Осознайте последствия потери ключей AWS KMS.
- Перешифруйте активный ключ AMS KMS не реже одного раза в год в качестве оптимальной практики.
Авторизация
- Необходимо авторизовать создание ключей и управление ими в KMS AWS для вашей организации Webex.
- У вас должен быть доступ к вашей организации Webex в Control Hub. Вы должны быть администратором с полными правами для управления ключом AWS KMS.
1. | Войдите в AWS и перейдите к консоли AWS KMS. |
2. | Выберите Управляемые клиентом ключи и нажмите Создать ключ. |
3. | Создайте ключ со следующими атрибутами:
|
4. | Щелкните Далее. |
5 | Проверьте настройки и нажмите Готово. Ключ AWS KMS создан.
|
6 | Перейдите в раздел Управляемые клиентом ключи и щелкните псевдоним или идентификатор ключа, чтобы просмотреть ARN. |
Дальнейшие действия
Рекомендуется хранить временную копию ARN. Этот ARN используется для добавления и активации ключа AWS KMS в Control Hub.
1. | Войдите в AWS и перейдите к консоли AWS CloudShell. | ||
2. | Выполните команду Пример.
|
Перед началом работы
Перед активацией в Control Hub необходимо создать ключ AWS KMS. См. статью Создание ключа AWS KMS в этой статье.
Необходимо предоставить Webex доступ к клавише AWS KMS. См. статью Авторизация Cisco KMS с доступом к ключу AWS KMS в этой статье.
1. | |
2. | Перейти к Bring Your Own Key (BYOK) . , а затем включите параметрЕсли вы отключите BYOK, Общий ключ по умолчанию Webex становится главным ключом для вашей организации. |
3. | Выберите Добавить ключ AWS KMS и нажмите Далее. |
4. | Получите ARN из консоли AWS. |
5 | Введите ARN в Control Hub и щелкните Добавить. ARN ключа загружается в Cisco KMS, где доступ к ключу проверяется. Затем в Control Hub отображается идентификатор ключа Cisco KMS нового ключа AWS KMS и действующий идентификатор ключа Cisco KMS, если таковой имеется. Если это первый ключ AWS KMS, активным в данный момент является общий ключ Webex по умолчанию (используемый в настоящее время для шифрования ключей вашей организации). |
6 | Выберите способ активации ключа:
|
1. | Войдите в Control Hub и перейдите к . |
2. | Перейдите к активной клавише AWS KMS. |
3. | Щелкните кнопкуи выберите Повернуть. |
4. | Введите новый ключ AWS KMS и новый ARN и нажмите Добавить. Процесс описан в статье Добавление и активация ключа AMS KMS .
|
5 | Щелкните Активировать. Загруженный новый ключ AWS KMS переходит в состояние "Активен". Старый ключ AWS KMS остается в режиме вращения до тех пор, пока Webex не завершит шифрование всего содержимого с помощью нового активного ключа AWS KMS. После перешифрования старый ключ AWS KMS автоматически исчезает из Control Hub. |
1. | Войдите в Control Hub и перейдите к . |
2. | Щелкните Добавить другой ключ. |
3. | Введите новый ключ AWS KMS и нажмите Добавить. В Control Hub отображается идентификатор ключа Cisco KMS нового ключа AWS KMS и идентификатор активного ключа Cisco KMS. Процесс описан в статье Добавление и активация ключа AMS KMS . |
4. | Щелкните Активировать. Загруженный новый ключ AWS KMS переходит в состояние "Активен". Старый ключ AWS KMS остается в режиме вращения до тех пор, пока Webex не завершит шифрование всего содержимого с помощью нового активного ключа AWS KMS. После перешифрования старый ключ AWS KMS автоматически исчезает из Control Hub. |
1. | Войдите в Control Hub и перейдите к . |
2. | Перейдите к активной клавише AWS KMS. |
3. | Щелкните кнопкуи выберите Локально отозвать. |
4. | Подтвердите отзыв ключа. Полный отзыв ключа может длиться до 10 минут. Ключ AWS KMS переходит в состояние локального отзыва.
|
Если администратор клиента отозвал ключ из консоли AWS KMS, ключ AWS KMS отображается в состоянии "Отозвано от Amazon" в Control Hub. |
1. | Войдите в Control Hub и перейдите к . |
2. | Перейдите к отозванному ключу AWS KMS. |
3. | Щелкните кнопкуи выберите Удалить. |
4. | Подтвердите удаление ключа. После удаления ключ можно восстановить в течение 30 дней. |
Перед удалением CMK из консоли AWS рекомендуется сначала удалить ключ KMS из Control Hub. При удалении CMK из консоли AWS до удаления ключа AWS KMS в Control Hub могут возникнуть проблемы. Перед удалением CMK из консоли AWS убедитесь, что ключ AWS KMS больше не отображается в Control Hub. |
1. | Войдите в Control Hub и перейдите к . |
2. | Перейдите к удаленному ключу AWS KMS. |
3. | Щелкните кнопкуи выберите Отменить удаление. |
4. | Подтвердите восстановление ключа. После восстановления в Control Hub ключ будет отображаться в состоянии "Отозвано". |
При возникновении проблем с ключом AWS KMS используйте приведенную ниже информацию для устранения неполадок.
ARN ключа AWS KMS. Например:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Состояние ключа AWS KMS. Например, ключ AWS KMS отключен.
В этом примере используются инструменты командной строки OpenSSL версии 3.0. См. OpenSSL для получения дополнительной информации об этих инструментах.
1. | |
2. | Перейти к . |
3. | Щелкните Скачать публичный ключ . Открытый ключ Webex HSM предоставляется в виде файла .pem в локальной системе. |
4. | Создайте 256-битный (32-байтовый) ключ: В примере используется имя файлаmain_key .bin для вашего незашифрованного нового ключа. Кроме того, вы можете создать 32-байтное случайное значение с помощью Hex dump, Python или онлайн-генераторов. Также можно создать ключ AWS KMS и управлять им. |
5 | Используйте открытый ключ Webex HSM для шифрования нового ключа.
В примере используется имя файлаmain_key_encrypted .bin для зашифрованного выходного ключа и имени файла путь / к / public.pem для открытого ключа Webex . Зашифрованный ключ готов к загрузке в Control Hub. |