O hlavných kľúčoch zákazníka

Ako súčasť nášho záväzku poskytovať komplexnú bezpečnosť má Webex hlavný kľúč v mene každej organizácie. Nazývame ho hlavný kľúč, pretože nešifruje obsah priamo, ale používa sa na šifrovanie iných kľúčov vašej organizácie, ktoré šifrujú obsah. Základná úroveň hierarchie kľúčov sa nazýva kľúč obsahu (CK) a stredné úrovne kľúčov sa nazývajú kľúče šifrovania kľúčov (KEK).

Uvedomujeme si, že niektoré organizácie uprednostňujú správu vlastnej bezpečnosti, preto vám dávame možnosť spravovať svoj vlastný hlavný kľúč zákazníka (CMK). To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné šifrovanie) hlavného kľúča, ktorý Webex používa na šifrovanie vašich kľúčov na šifrovanie obsahu.

V budúcnosti sa kľúč vzťahuje na CMK, pokiaľ nie je uvedené inak.

Ako to funguje

  1. Webex uchováva váš CMK v hardvérovom bezpečnostnom module (HSM), takže služby Webexu nemajú prístup k hodnote CMK.

  2. Control Hub zobrazuje vaše aktuálne aktívne alebo zrušené CMK a všetky čakajúce CMK, ktoré sú uložené v HSM. Keď potrebujete otočiť (znovu zašifrovať) CMK, vygenerujete svoj nový CMK a zašifrujete ho verejným kľúčom HSM, takže ho môže dešifrovať a uložiť iba HSM.

  3. Potom nahráte a aktivujete nový CMK v Control Hub. Webex okamžite začne používať nový CMK na šifrovanie vašich obsahových kľúčov. Webex si ponecháva starý CMK, ale iba dovtedy, kým si nie je istý, že vaše šifrovacie kľúče obsahu sú zabezpečené novým CMK.

Spätne nešifrujeme všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (Space a stretnutia) znova zašifrovaný a chránený.
O kľúčoch AWS KMS

Uvedomujeme si, že niektoré organizácie uprednostňujú spravovanie vlastného kľúča mimo Webex. Preto vám dávame možnosť spravovať svoje vlastné CMK v službe správy kľúčov Amazon Web Services (AWS) (KMS). To znamená, že ste zodpovední za správu svojich kľúčov v AWS KMS. Autorizujete Webex na šifrovanie a dešifrovanie pomocou vášho kľúča AWS KMS prostredníctvom konzoly AWS. Webexu poskytnete svoje ID kľúča AWS KMS namiesto svojho CMK. To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné zašifrovanie) kľúča AWS KMS, ktorý Webex používa na šifrovanie vašich kľúčov na šifrovanie obsahu v cloude.

Ako to funguje

  1. Kľúč vytvoríte pomocou AWS. AWS KMS sa používa na správu vášho kľúča a ukladá kľúč do hardvérového bezpečnostného modulu (HSM).

  2. Webexu poskytujete prístup na používanie kľúča AWS KMS prostredníctvom konzoly AWS.

    To znamená, že namiesto nahrávania CMK do Control Hub poskytujete Webexu prístup ku kľúču AWS KMS. Kľúč AWS KMS neopustí vaše AWS KMS a služby Webex nemajú prístup ku kľúčovým materiálom AWS KMS.

    Control Hub zobrazuje váš aktuálne aktívny alebo odvolaný kľúč AWS KMS a akýkoľvek čakajúci kľúč AWS KMS, ktorý je uložený v AWS KMS. Keď potrebujete otočiť kľúč AWS KMS, vygenerujete svoj nový kľúč AWS KMS pomocou konzoly AWS KMS.

  3. Potom pridáte a aktivujete nový kľúč AWS KMS v Control Hub a poskytnete mu názov Amazon Resource Name (ARN) nového kľúča AWS KMS. Webex okamžite začne používať nový kľúč AWS KMS na šifrovanie vašich kľúčov obsahu. Webex už nevyžaduje starý kľúč AWS KMS. Starý kľúč AWS KMS zmizne z Control Hub po otočení kľúčov na šifrovanie obsahu a ich zabezpečení novým kľúčom AWS KMS. Webex neodstráni kľúč AWS KMS z AWS KMS. Váš správca zákazníka môže odstrániť kľúč z AWS KMS.

Kľúčové stavy a životný cyklus

Kľúčový životný cyklus

Definície kľúčových stavov

Nevybavené

Kľúč v tomto stave je uložený v HSM, ale ešte sa nepoužíva na šifrovanie. Webex nepoužíva tento CMK na šifrovanie.

V tomto stave môže byť iba jeden kľúč.
Aktívne

Webex momentálne používa tento CMK na šifrovanie iných kľúčov pre vašu organizáciu.

V tomto stave môže byť iba jeden kľúč.
Rotácia

Webex dočasne používa túto CMK. Webex ho potrebuje na dešifrovanie vašich údajov a kľúčov, ktoré boli predtým zašifrované týmto kľúčom. Po dokončení rotácie (opätovného šifrovania) sa tento kľúč zruší.

V tomto stave môže byť viacero kľúčov, ak sa pred dokončením otáčania aktivuje nový kľúč.
na dôchodku

Webex nepoužíva tento CMK. Tento kľúč sa už nepoužíva na šifrovanie. Nastaví sa doba životnosti kľúča, po ktorej sa tento kľúč odstráni z HSM.

Odvolané

Webex nepoužíva tento CMK. Aj keď existujú údaje a kľúče, ktoré boli zašifrované týmto kľúčom, Webex ho nemôže použiť na dešifrovanie údajov a kľúčov.

  • Aktívny kľúč musíte odvolať len vtedy, ak máte podozrenie, že je napadnutý. Toto je vážne rozhodnutie, pretože mnohým operáciám bráni v správnom správaní. Napríklad nebudete môcť vytvárať nové priestory a nebudete môcť dešifrovať žiadny obsah vo Webex Client.
  • V tomto stave môže byť iba jeden kľúč. Ak chcete otočiť (opätovne zašifrovať) nový kľúč, musíte tento kľúč znova aktivovať.
  • Tento CMK môže byť vymazaný, ale nemusíte ho vymazať. Možno si ho budete chcieť ponechať na dešifrovanie/opätovné zašifrovanie po vyriešení podozrenia z narušenia bezpečnosti.
Odstránené

Webex nepoužíva tento CMK. Správanie v tomto stave je rovnaké ako v stave Odvolané s výnimkou toho, že je nastavený kľúčový čas životnosti, po ktorom sa tento kľúč odstráni z HSM.

  • Ak vymazaný CMK prejde do stavu Odstránené, musíte obnoviť pôvodný kľúč, aby sa obnovila funkčnosť organizácie.
  • Odporúčame vám, aby ste si ponechali záložnú kópiu pôvodného kľúča, inak vaša organizácia prestane fungovať.
Odstránené

Toto je logický stav. Webex nemá tento CMK uložený v HSM. Nezobrazuje sa v Control Hub.

Požiadavky

Vlastníctvo

Prevzatím vlastníctva CMK musíte:

  • Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie vašich kľúčov
  • Pochopte dôsledky straty kľúčov
  • Opätovne zašifrujte svoje aktívne CMK aspoň raz za rok ako osvedčený postup

Vytvorenie kľúča

Pomocou týchto parametrov si musíte vytvoriť svoj vlastný CMK. Váš kľúč musí byť:

  • Dĺžka 256 bitov (32 bajtov).
  • Šifrované pomocou schémy RSA-OAEP
  • Šifrované verejným kľúčom Webex cloud HSM

Váš softvér na generovanie kľúčov musí byť schopný:

  • Hašovacia funkcia SHA-256
  • Funkcia generovania masky MGF1
  • Výplň PKCS#1 OAEP

Pozrite si príklad: Vytvorte a zašifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.

Autorizácia

Musíte mať prístup k svojej organizácii Webex v Control Hub. Ak chcete spravovať svoje CMK, musíte byť úplným správcom .

Vytvorte a aktivujte svoj hlavný kľúč zákazníka
1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

Ak chcete povoliť BYOK, zapnite možnosť Prineste svoj vlastný kľúč (BYOK) . Ak zakážete BYOK, hlavným kľúčom pre vašu organizáciu sa stane bežný predvolený kľúč Webex .

3

Vyberte možnosť Odovzdať vlastný kľúč a kliknite na tlačidlo Ďalej.

4

Kliknite na položku Prevziať verejný kľúč.

Uložte verejný kľúč Webex HSM do súboru .pem vo vašom lokálnom systéme.

5

Vytvorte kryptograficky bezpečný 256-bitový (32 bajtový) náhodný kľúč pomocou softvéru na správu kľúčov.

6

Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM.

Požadované parametre šifrovania sú:

  • Schéma RSA-OAEP
  • Hašovacia funkcia SHA-256
  • Funkcia generovania masky MGF1
  • Výplň PKCS#1 OAEP
Pozrite si príklad: Vytvorte a zašifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.
7

Presuňte šifrovaný kľúč zo systému súborov a pustite ho do oblasti odovzdávania v rozhraní Control Hub alebo kliknite na položku Vybrať súbor.

8

Kliknite na tlačidlo Ďalej.

Webex odovzdá váš kľúč do HSM, kde sa dešifruje a overí. Potom vám Control Hub zobrazí ID vášho nového CMK a ID aktuálne aktívneho CMK, ak existuje.

Ak je toto váš prvý CMK, aktuálne aktívny kľúč je bežný predvolený kľúč Webex (ten, ktorý momentálne používame na šifrovanie kľúčov vašej organizácie).

9

Vyberte, ako chcete aktivovať svoj kľúč:

  • Aktivovať nový kľúč: Nová CMK okamžite prejde do aktívneho stavu. Predtým aktívny CMK prejde do rotácie (reencrypting state), kým všetok váš obsah nebude chránený novým CMK, potom Webex vymaže predtým aktívny CMK.
  • Aktivovať neskôr: Nová CMK sa sťahuje do stavu Čaká. Webex uchováva tento CMK v HSM, ale zatiaľ ho nepoužíva. Webex naďalej používa aktuálne aktívny CMK na šifrovanie kľúčov vašej organizácie.

Čo robiť ďalej

Spätne nešifrujeme všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (Space a stretnutia) znova zašifrovaný a chránený.
Otočte kľúčom
1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

3

Prejdite do aktívneho CMK.

4

Kliknite na tlačidlo Viac menu a vyberte možnosť Otočiť.

5

Vytvorte a zašifrujte nový kľúč (ak ste tak ešte neurobili).

Proces je opísaný v časti Vytvorenie a aktivácia hlavného kľúča zákazníka v tomto článku.
6

Presuňte nový kľúč zo systému súborov a pustite ho do Control Hub.

7

Kliknite na položku Aktivovať nový kľúč.

Nový kľúč, ktorý ste nahrali, prejde do aktívneho stavu.

Starý CMK zostane v režime Rotation (reencrypting state), kým Webex nedokončí šifrovanie celého svojho obsahu pomocou nového Active CMK. Po opätovnom zašifrovaní sa kľúč presunie do stavu Vyradené. Webex potom vymaže staré CMK.

Zrušte svoj kľúč
1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

3

Prejdite na aktívny kľúč.

4

Kliknite na tlačidlo Viac menu a vyberte možnosť Odvolať.

5

Potvrďte zrušenie kľúča.

Úplné odvolanie kľúča môže trvať až 10 minút.
Znova aktivujte svoj odvolaný kľúč
1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

3

Prejdite na aktuálne odvolaný kľúč.

4

Kliknite na tlačidlo Viac menu a vyberte možnosť Aktivovať.

5

Potvrďte aktiváciu kľúča.

Predtým odvolaný kľúč prejde do aktívneho stavu.
Odstráňte svoj odvolaný kľúč
1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

3

Prejdite na odvolaný kľúč.

4

Kliknite na tlačidlo Viac menu a vyberte možnosť Odstrániť.

5

Potvrďte vymazanie kľúča.

Po odstránení máte možnosť obnoviť kľúč do 30 dní.
Obnovte svoj odvolaný kľúč
1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

3

Prejdite na odstránený kľúč.

4

Kliknite na tlačidlo Viac menu a vyberte možnosť Obnoviť odstránenie.

5

Potvrďte obnovenie kľúča.

Po obnovení vám Control Hub zobrazí kľúč v stave Revoked, než bol odstránený. Ak napríklad odstránite odvolaný kľúč a potom ho obnovíte, Control Hub zobrazí obnovený kľúč v stave odvolania.

Požiadavky

Vlastníctvo

Prevzatím vlastníctva vášho kľúča AWS KMS musíte:

  • Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie vašich kľúčov AWS KMS.
  • Pochopte dôsledky straty kľúčov AWS KMS.
  • Opätovne zašifrujte svoj aktívny kľúč AMS KMS aspoň raz za rok ako osvedčený postup.

Autorizácia

  • Musíte mať oprávnenie vytvárať a spravovať svoje kľúče v AWS KMS pre vašu organizáciu Webex.
  • Musíte mať prístup k svojej organizácii Webex v Control Hub. Ak chcete spravovať kľúč AWS KMS, musíte byť úplným správcom .
Vytvorte kľúč AWS KMS
1

Prihláste sa do AWS a prejdite do konzoly AWS KMS.

2

Vyberte položku Kľúče spravované zákazníkom a potom kliknite na položku Vytvoriť kľúč.

3

Vytvorte kľúč s nasledujúcimi atribútmi:

  • Typ kľúča – vyberte možnosť Symetrický.
  • Použitie kľúča – vyberte možnosť Šifrovať a dešifrovať.
  • Štítky – zadajte alias, popis a štítky.
  • Kľúčoví správcovia – vyberte používateľov a roly kľúčových správcov vašej organizácie.
  • Odstránenie kľúča – začiarknite políčko Povoliť správcom kľúča odstrániť tento kľúč.
  • Kľúčoví používatelia – vyberte kľúčových používateľov a roly svojej organizácie.
4

Kliknite na tlačidlo Ďalej.

5

Skontrolujte nastavenia a kliknite na tlačidlo Dokončiť.

Váš kľúč AWS KMS je vytvorený.
6

Prejdite do časti Kľúče spravované zákazníkom a kliknutím na Alias alebo ID kľúča zobrazte ARN.

Čo robiť ďalej

Odporúčame vám ponechať si dočasnú kópiu ARN. Toto ARN sa používa na pridanie a aktiváciu kľúča AWS KMS v Control Hub.

Autorizujte Cisco KMS s prístupom ku kľúču AWS KMS
1

Prihláste sa do AWS a prejdite do konzoly AWS CloudShell.

2

Spustite príkaz create-grant a autorizujte Webex takto:

aws kms create-grant \ --name {JEDINEČNÉ_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWSKľúč KMS} \ --operations Šifrovanie Dešifrovanie Kľúč opisu \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Napríklad:_ 
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ --operations Encrypt Decrypt DescribeKey \ --Grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ --principal do dôchodku arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user
Používateľ KMS_CISCO_ARN_ARN je špecifický pre vašu organizáciu. ARN sa zobrazí v okne Pridať kľúč AWS pri aktivácii nového kľúča AWK KMS v Control Hub.
Pridajte a aktivujte svoj kľúč AWS KMS

Skôr ako začnete

Pred jeho aktiváciou v Control Hub musíte vytvoriť kľúč AWS KMS. Pozrite si časť Vytvorenie kľúča AWS KMS v tomto článku.

Webexu musíte poskytnúť prístup ku kľúču AWS KMS. Pozrite si časť Autorizácia Cisco KMS s prístupom ku kľúču AWS KMS v tomto článku.

1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov a zapnite možnosť Priniesť svoj vlastný kľúč (BYOK) .

Ak zakážete BYOK, hlavným kľúčom pre vašu organizáciu sa stane bežný predvolený kľúč Webex .

3

Vyberte možnosť Pridať kľúč AWS KMS a kliknite na tlačidlo Ďalej.

4

Získajte ARN z konzoly AWS.

5

Zadajte ARN v Control Hub a kliknite na tlačidlo Pridať.

ARN vášho kľúča sa nahrá do Cisco KMS, kde sa overí prístup ku kľúču. Potom vám Control Hub zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a aktuálne aktívne ID kľúča Cisco KMS, ak existuje.

Ak je toto váš prvý kľúč AWS KMS, aktuálne aktívny kľúč je bežný predvolený kľúč Webex (ten, ktorý momentálne používame na šifrovanie kľúčov vašej organizácie).

6

Vyberte, ako chcete aktivovať svoj kľúč:

  • Aktivovať: Nový kľúč AWS KMS okamžite prejde do aktívneho stavu.
  • Aktivovať neskôr: Nový kľúč AWS KMS sa presunie do stavu Čaká. Webex uchováva tento kľúč AWS KMS ARN v Cisco KMS, ale zatiaľ ho nepoužíva. Webex naďalej používa aktuálne aktívny kľúč AWS KMS na šifrovanie kľúčov vašej organizácie.
Otočte kľúčom AWS KMS
1

Prihláste sa do Control Hub a prejdite do časti Nastavenia organizácie > Správa kľúčov.

2

Prejdite na aktívny kľúč AWS KMS.

3

Kliknite na tlačidlo Viac menu a vyberte možnosť Otočiť.

4

Zadajte svoj nový kľúč AWS KMS a nové ARN a kliknite na tlačidlo Pridať.

Proces je opísaný v časti Pridanie a aktivácia kľúča AMS KMS v tomto článku.
5

Kliknite na tlačidlo Aktivovať.

Nový kľúč AWS KMS, ktorý ste nahrali, prejde do aktívneho stavu.

Starý kľúč AWS KMS zostane v rotujúcom stave, kým Webex nedokončí šifrovanie celého obsahu pomocou nového kľúča Active AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub.

Otočením pridáte ďalší kľúč AWS KMS (voliteľné)
1

Prihláste sa do Control Hub a prejdite do časti Nastavenia organizácie > Správa kľúčov.

2

Kliknite na položku Pridať ďalší kľúč.

3

Zadajte svoj nový kľúč AWS KMS a kliknite na tlačidlo Pridať.

Control Hub vám zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a ID aktuálne aktívneho kľúča Cisco KMS.

Proces je opísaný v časti Pridanie a aktivácia kľúča AMS KMS v tomto článku.

4

Kliknite na tlačidlo Aktivovať.

Nový kľúč AWS KMS, ktorý ste nahrali, prejde do aktívneho stavu.

Starý kľúč AWS KMS zostane v rotujúcom stave, kým Webex nedokončí šifrovanie celého obsahu pomocou nového kľúča Active AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub.

Zrušte svoj kľúč AWS KMS
1

Prihláste sa do Control Hub a prejdite do časti Nastavenia organizácie > Správa kľúčov.

2

Prejdite na aktuálne aktívny kľúč AWS KMS.

3

Kliknite na položku Viac menu a vyberte možnosť Miestne odvolať.

4

Potvrďte zrušenie kľúča.

Úplné odvolanie kľúča môže trvať až 10 minút. Kľúč AWS KMS prejde do stavu Lokálne odvolaný.

Ak váš správca zákazníka odvolá kľúč z konzoly AWS KMS, kľúč AWS KMS sa zobrazí v stave Odvolané Amazonom v Control Hub.

Odstráňte kľúč AWS KMS
1

Prihláste sa do Control Hub a prejdite do časti Nastavenia organizácie > Správa kľúčov.

2

Prejdite na odvolaný kľúč AWS KMS.

3

Kliknite na tlačidlo Viac menu a vyberte možnosť Odstrániť.

4

Potvrďte vymazanie kľúča.

Po odstránení môžete kľúč obnoviť do 30 dní.

Pred odstránením CMK z konzoly AWS odporúčame najskôr vymazať kľúč AWS KMS z Control Hub. Ak vymažete CMK z konzoly AWS pred odstránením kľúča AWS KMS v Control Hub, môžete naraziť na problémy.

Pred odstránením CMK z konzoly AWS sa uistite, že kľúč AWS KMS už nie je viditeľný v Control Hub.

Obnovte svoj kľúč AWS KMS
1

Prihláste sa do Control Hub a prejdite do časti Nastavenia organizácie > Správa kľúčov.

2

Prejdite na odstránený kľúč AWS KMS.

3

Kliknite na tlačidlo Viac menu a vyberte možnosť Obnoviť odstránenie.

4

Potvrďte obnovenie kľúča.

Po obnovení vám Control Hub zobrazí kľúč v stave odvolania.

Riešenie problémov s kľúčom AWS KMS

Ak narazíte na problémy s kľúčom AWS KMS, použite na ich riešenie nasledujúce informácie.

  • AWS kľúč KMS ARN. Napríklad arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Udeľuje kľúč AWS KMS.

  • Stav kľúča AWS KMS. Napríklad kľúč AWS KMS je zakázaný.

Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL

Tento príklad používa verziu 3.0 nástrojov príkazového riadka OpenSSL. Viac informácií o týchto nástrojoch nájdete v časti OpenSSL .

1

Prihláste sa do Control Hub.

2

Prejdite do časti Nastavenia organizácie > Správa kľúčov.

3

Kliknite na položku Prevziať verejný kľúč.

Verejný kľúč Webex HSM získate v súbore .pem vo vašom lokálnom systéme.

4

Vytvorte 256-bitový (32 bajtový) kľúč: openssl rand -out main_key.bin 32.

Príklad používa názov súboru main_key.bin pre váš nezašifrovaný nový kľúč.

Prípadne môžete vygenerovať 32-bajtovú náhodnú hodnotu pomocou Hex dump, Python alebo online generátorov. Môžete tiež vytvoriť a spravovať kľúč AWS KMS.

5

Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM:

openssl pkeyutl -encrypt -pubin -inkey cesta/k/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode: oaep -pkeyopt rsa_oaep_md:sha256

Príklad používa názov súboru main_key_encrypted.bin pre šifrovaný výstupný kľúč a názov súboru path/to/public.pem pre verejný kľúč Webex.

Šifrovaný kľúč je pripravený na odovzdanie do Control Hub.

Súvisiace články