Webex je v predvolenom nastavení zabezpečený a máme hlavný kľúč na šifrovanie všetkých šifrovacích kľúčov vašej organizácie. Ak uprednostňujete ovládanie hlavného kľúča vašej organizácie, môžete to urobiť pomocou Control Hub a preferovaných nástrojov na správu kľúčov.
Ako súčasť nášho záväzku poskytovať komplexnú bezpečnosť má Webex hlavný kľúč v mene každej organizácie. Nazývame ho hlavný kľúč, pretože nešifruje obsah priamo, ale používa sa na šifrovanie iných kľúčov vašej organizácie, ktoré šifrujú obsah. Základná úroveň hierarchie kľúčov sa nazýva kľúč obsahu (CK) a stredné úrovne kľúčov sa nazývajú kľúče šifrovania kľúčov (KEK).
Uvedomujeme si, že niektoré organizácie uprednostňujú správu svojej vlastnej bezpečnosti, preto vám dávame možnosť spravovať svoj vlastný hlavný kľúč zákazníka (CMK). To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné zašifrovanie) hlavného kľúča, ktorý Webex používa na šifrovanie vašich kľúčov na šifrovanie obsahu.
V budúcnosti sa kľúč vzťahuje na CMK, pokiaľ nie je uvedené inak.
Ako to funguje
Webex uchováva váš CMK v hardvérovom bezpečnostnom module (HSM), takže služby Webexu nemajú prístup k hodnote CMK.
Control Hub zobrazuje vaše aktuálne aktívne alebo zrušené CMK a všetky čakajúce CMK, ktoré sú uložené v HSM. Keď potrebujete otočiť (znovu zašifrovať) CMK, vygenerujete svoj nový CMK a zašifrujete ho verejným kľúčom HSM, takže ho môže dešifrovať a uložiť iba HSM.
Potom nahráte a aktivujete nový CMK v Control Hub. Webex okamžite začne používať nový CMK na šifrovanie vašich obsahových kľúčov. Webex si ponecháva starý CMK, ale len dovtedy, kým si nie je istý, že vaše šifrovacie kľúče obsahu sú zabezpečené novým CMK.
Spätne nešifrujeme všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (Space a stretnutia) znova zašifrovaný a chránený. |
Uvedomujeme si, že niektoré organizácie uprednostňujú spravovanie vlastného kľúča mimo Webex. Preto vám dávame možnosť spravovať svoj vlastný CMK v službe Amazon Web Services (AWS) Key Management Service (KMS). To znamená, že ste zodpovední za správu svojich kľúčov v AWS KMS. Autorizujete Webex na šifrovanie a dešifrovanie pomocou vášho kľúča AWS KMS prostredníctvom konzoly AWS. Webexu poskytnete svoje ID kľúča AWS KMS namiesto svojho CMK. To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné zašifrovanie) kľúča AWS KMS, ktorý Webex používa na šifrovanie vašich kľúčov na šifrovanie obsahu v cloude.
Ako to funguje
Kľúč vytvoríte pomocou AWS. AWS KMS sa používa na správu vášho kľúča a ukladá kľúč do hardvérového bezpečnostného modulu (HSM).
Webexu poskytujete prístup na používanie kľúča AWS KMS prostredníctvom konzoly AWS.
To znamená, že namiesto nahrávania CMK do Control Hub poskytujete Webexu prístup ku kľúču AWS KMS. Kľúč AWS KMS neopustí vaše AWS KMS a služby Webex nemajú prístup ku kľúčovým materiálom AWS KMS.
Control Hub zobrazuje váš aktuálne aktívny alebo odvolaný kľúč AWS KMS a akýkoľvek čakajúci kľúč AWS KMS, ktorý je uložený v AWS KMS. Keď potrebujete otočiť kľúč AWS KMS, vygenerujete svoj nový kľúč AWS KMS pomocou konzoly AWS KMS.
Potom pridáte a aktivujete nový kľúč AWS KMS v Control Hub a poskytnete mu názov Amazon Resource Name (ARN) nového kľúča AWS KMS. Webex okamžite začne používať nový kľúč AWS KMS na šifrovanie vašich kľúčov obsahu. Webex už nevyžaduje starý kľúč AWS KMS. Starý kľúč AWS KMS zmizne z Control Hub po otočení kľúčov na šifrovanie obsahu a ich zabezpečení novým kľúčom AWS KMS. Webex neodstráni kľúč AWS KMS z AWS KMS. Váš správca zákazníka môže odstrániť kľúč z AWS KMS.
Kľúčový životný cyklus
Definície kľúčových stavov
- Čaká na spracovanie
-
Kľúč v tomto stave je uložený v HSM, ale ešte sa nepoužíva na šifrovanie. Webex nepoužíva tento CMK na šifrovanie.
V tomto stave môže byť iba jeden kľúč. - Aktívne
-
Webex momentálne používa tento CMK na šifrovanie iných kľúčov pre vašu organizáciu.
V tomto stave môže byť iba jeden kľúč. - Rotácia
-
Webex dočasne používa túto CMK. Webex ho potrebuje na dešifrovanie vašich údajov a kľúčov, ktoré boli predtým zašifrované týmto kľúčom. Po dokončení rotácie (opätovného šifrovania) sa tento kľúč zruší.
V tomto stave môže byť viacero kľúčov, ak sa pred dokončením otáčania aktivuje nový kľúč. - na dôchodku
-
Webex nepoužíva tento CMK. Tento kľúč sa už nepoužíva na šifrovanie. Nastaví sa doba životnosti kľúča, po ktorej sa tento kľúč odstráni z HSM.
- Odvolané
-
Webex nepoužíva tento CMK. Aj keď existujú údaje a kľúče, ktoré boli zašifrované týmto kľúčom, Webex ho nemôže použiť na dešifrovanie údajov a kľúčov.
- Aktívny kľúč musíte odvolať len vtedy, ak máte podozrenie, že je napadnutý. Toto je vážne rozhodnutie, pretože mnohým operáciám bráni v správnom správaní. Napríklad nebudete môcť vytvárať nové priestory a nebudete môcť dešifrovať žiadny obsah vo Webex Client.
- V tomto stave môže byť iba jeden kľúč. Ak chcete otočiť (opätovne zašifrovať) nový kľúč, musíte tento kľúč znova aktivovať.
- Túto CMK je možné vymazať, ale nemusíte ju vymazať. Možno si ho budete chcieť ponechať na dešifrovanie/opätovné zašifrovanie po vyriešení podozrenia z narušenia bezpečnosti.
- Odstránené
-
Webex nepoužíva tento CMK. Správanie v tomto stave je rovnaké ako v stave Odvolané s výnimkou toho, že je nastavený kľúčový čas životnosti, po ktorom sa tento kľúč odstráni z HSM.
- Ak vymazaný CMK prejde do stavu Odstránené, musíte obnoviť pôvodný kľúč, aby sa obnovila funkčnosť organizácie.
- Odporúčame vám, aby ste si ponechali záložnú kópiu pôvodného kľúča, inak vaša organizácia prestane fungovať.
- Odstránený
-
Toto je logický stav. Webex nemá tento CMK uložený v HSM. Nezobrazuje sa v Control Hub.
Vlastníctvo
Prevzatím vlastníctva CMK musíte:
- Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie vašich kľúčov
- Pochopte dôsledky straty kľúčov
- Opätovne zašifrujte svoje aktívne CMK aspoň raz za rok ako osvedčený postup
Vytvorenie kľúča
Pomocou týchto parametrov si musíte vytvoriť svoj vlastný CMK. Váš kľúč musí byť:
- Dĺžka 256 bitov (32 bajtov).
- Šifrované pomocou schémy RSA-OAEP
- Šifrované verejným kľúčom Webex cloud HSM
Váš softvér na generovanie kľúčov musí byť schopný:
- Hašovacia funkcia SHA-256
- Funkcia generovania masky MGF1
- Výplň PKCS#1 OAEP
Odkazujú na Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.
Autorizácia
Musíte mať prístup k svojej organizácii Webex v Control Hub. Musíte byť a úplný správca spravovať svoje CMK.
1 | Prihláste sa do Control Hub. |
2 | Ísť do .Ak chcete povoliť BYOK, prepnite Prineste si vlastný kľúč (BYOK) na. Ak zakážete BYOK, Spoločný predvolený kľúč Webex sa stane hlavným kľúčom pre vašu organizáciu. |
3 | Vyberte Nahrajte vlastný kľúč a kliknite Ďalšie. |
4 | Kliknite Stiahnite si verejný kľúč. Uložte verejný kľúč Webex HSM do súboru .pem vo vašom lokálnom systéme. |
5 | Vytvorte kryptograficky bezpečný 256-bitový (32 bajtový) náhodný kľúč pomocou softvéru na správu kľúčov. |
6 | Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM. Požadované parametre šifrovania sú:
Odkazujú na Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.
|
7 | Presuňte šifrovaný kľúč zo systému súborov a pustite ho do oblasti nahrávania rozhrania Control Hub alebo kliknite Vyberte súbor. |
8 | Kliknite Ďalšie. Webex odovzdá váš kľúč do HSM, kde sa dešifruje a overí. Potom vám Control Hub zobrazí ID vášho nového CMK a ID aktuálne aktívneho CMK, ak existuje. Ak je toto váš prvý CMK, aktuálne aktívny kľúč je Spoločný predvolený kľúč Webex (ten, ktorý v súčasnosti používame na šifrovanie kľúčov vašej organizácie). |
9 | Vyberte, ako chcete aktivovať svoj kľúč:
|
Čo urobiť ďalej
Spätne nešifrujeme všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (Space a stretnutia) znova zašifrovaný a chránený. |
1 | Prihláste sa do Control Hub. |
2 | Ísť do . |
3 | Prejdite do aktívneho CMK. |
4 | Kliknitea vyberte Točiť sa. |
5 | Vytvorte a zašifrujte nový kľúč (ak ste tak ešte neurobili). Proces je opísaný v Vytvorte a aktivujte svoj hlavný kľúč zákazníka v tomto článku.
|
6 | Presuňte nový kľúč zo systému súborov a pustite ho do Control Hub. |
7 | Kliknite Aktivujte nový kľúč. Nový kľúč, ktorý ste nahrali, prejde do aktívneho stavu. Starý CMK zostane v režime Rotation (reencrypting state), kým Webex nedokončí šifrovanie celého svojho obsahu pomocou nového Active CMK. Po opätovnom zašifrovaní sa kľúč presunie do stavu Vyradené. Webex potom vymaže staré CMK. |
1 | Prihláste sa do Control Hub. |
2 | Ísť do . |
3 | Prejdite na aktívny kľúč. |
4 | Kliknitea vyberte Odvolať. |
5 | Potvrďte zrušenie kľúča. Úplné odvolanie kľúča môže trvať až 10 minút.
|
1 | Prihláste sa do Control Hub. |
2 | Ísť do . |
3 | Prejdite na aktuálne odvolaný kľúč. |
4 | Kliknitea vyberte Aktivovať. |
5 | Potvrďte aktiváciu kľúča. Predtým odvolaný kľúč prejde do aktívneho stavu.
|
1 | Prihláste sa do Control Hub. |
2 | Ísť do . |
3 | Prejdite na odvolaný kľúč. |
4 | Kliknitea vyberte Odstrániť. |
5 | Potvrďte vymazanie kľúča. Po odstránení máte možnosť obnoviť kľúč do 30 dní.
|
1 | Prihláste sa do Control Hub. |
2 | Ísť do . |
3 | Prejdite na odstránený kľúč. |
4 | Kliknitea vyberte Obnoviť. |
5 | Potvrďte obnovenie kľúča. Po obnovení vám Control Hub zobrazí kľúč v stave Revoked, než bol odstránený. Ak napríklad odstránite odvolaný kľúč a potom ho obnovíte, Control Hub zobrazí obnovený kľúč v stave odvolania.
|
Vlastníctvo
Prevzatím vlastníctva vášho kľúča AWS KMS musíte:
- Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie vašich kľúčov AWS KMS.
- Pochopte dôsledky straty kľúčov AWS KMS.
- Opätovne zašifrujte svoj aktívny kľúč AMS KMS aspoň raz za rok ako osvedčený postup.
Autorizácia
- Musíte mať oprávnenie vytvárať a spravovať svoje kľúče v AWS KMS pre vašu organizáciu Webex.
- Musíte mať prístup k svojej organizácii Webex v Control Hub. Musíte byť a úplný správca na správu kľúča AWS KMS.
1 | Prihláste sa do AWS a prejdite na konzolu AWS KMS. |
2 | Vyberte Kľúče spravované zákazníkom a potom kliknite Vytvoriť kľúč. |
3 | Vytvorte kľúč s nasledujúcimi atribútmi:
|
4 | Kliknite Ďalšie. |
5 | Skontrolujte nastavenia a kliknite Skončiť. Váš kľúč AWS KMS je vytvorený.
|
6 | Ísť do Kľúče spravované zákazníkom a kliknutím na Alias alebo Key ID zobrazíte ARN. |
Čo urobiť ďalej
Odporúčame vám ponechať si dočasnú kópiu ARN. Toto ARN sa používa na pridanie a aktiváciu kľúča AWS KMS v Control Hub.
1 | Prihláste sa do AWS a prejdite na konzolu AWS CloudShell. | ||
2 | Bežať Napríklad:
|
Predtým ako začneš
Pred jeho aktiváciou v Control Hub musíte vytvoriť kľúč AWS KMS. Odkazujú na Vytvorte kľúč AWS KMS v tomto článku.
Webexu musíte poskytnúť prístup ku kľúču AWS KMS. Odkazujú na Autorizujte Cisco KMS s prístupom ku kľúču AWS KMS v tomto článku.
1 | Prihláste sa do Control Hub. |
2 | Ísť do Prineste si vlastný kľúč (BYOK) na. a prepínaťAk zakážete BYOK, Spoločný predvolený kľúč Webex sa stane hlavným kľúčom pre vašu organizáciu. |
3 | Vyberte Pridajte kľúč AWS KMS a kliknite Ďalšie. |
4 | Získajte ARN z konzoly AWS. |
5 | Zadajte ARN v Control Hub a kliknite Pridať. ARN vášho kľúča sa nahrá do Cisco KMS, kde sa overí prístup ku kľúču. Potom vám Control Hub zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a aktuálne aktívne ID kľúča Cisco KMS, ak existuje. Ak je toto váš prvý kľúč AWS KMS, aktuálne aktívny kľúč je Spoločný predvolený kľúč Webex (ten, ktorý v súčasnosti používame na šifrovanie kľúčov vašej organizácie). |
6 | Vyberte, ako chcete aktivovať svoj kľúč:
|
1 | Prihláste sa do Control Huba prejdite na . |
2 | Prejdite na aktívny kľúč AWS KMS. |
3 | Kliknitea vyberte Točiť sa. |
4 | Zadajte svoj nový kľúč AWS KMS a nové ARN a kliknite Pridať. Proces je opísaný v Pridajte a aktivujte svoj kľúč AMS KMS v tomto článku.
|
5 | Kliknite Aktivovať. Nový kľúč AWS KMS, ktorý ste nahrali, prejde do aktívneho stavu. Starý kľúč AWS KMS zostane v rotujúcom stave, kým Webex nedokončí šifrovanie celého obsahu pomocou nového kľúča Active AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub. |
1 | Prihláste sa do Control Huba prejdite na . |
2 | Kliknite Pridajte ďalší kľúč. |
3 | Zadajte svoj nový kľúč AWS KMS a kliknite Pridať. Control Hub vám zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a ID aktuálne aktívneho kľúča Cisco KMS. Proces je opísaný v Pridajte a aktivujte svoj kľúč AMS KMS v tomto článku. |
4 | Kliknite Aktivovať. Nový kľúč AWS KMS, ktorý ste nahrali, prejde do aktívneho stavu. Starý kľúč AWS KMS zostane v rotujúcom stave, kým Webex nedokončí šifrovanie celého obsahu pomocou nového kľúča Active AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub. |
1 | Prihláste sa do Control Huba prejdite na . |
2 | Prejdite na aktuálne aktívny kľúč AWS KMS. |
3 | Kliknitea vyberte Lokálne odvolať. |
4 | Potvrďte zrušenie kľúča. Úplné odvolanie kľúča môže trvať až 10 minút. Kľúč AWS KMS prejde do stavu Lokálne odvolaný.
|
Ak váš správca zákazníka odvolá kľúč z konzoly AWS KMS, kľúč AWS KMS sa zobrazí v stave Odvolané spoločnosťou Amazon v Control Hub. |
1 | Prihláste sa do Control Huba prejdite na . |
2 | Prejdite na odvolaný kľúč AWS KMS. |
3 | Kliknitea vyberte Odstrániť. |
4 | Potvrďte vymazanie kľúča. Po odstránení môžete kľúč obnoviť do 30 dní. |
Pred odstránením CMK z konzoly AWS vám odporúčame vymazať kľúč AWS KMS z Control Hub. Ak vymažete CMK z konzoly AWS pred odstránením kľúča AWS KMS v Control Hub, môžete naraziť na problémy. Pred odstránením CMK z konzoly AWS sa uistite, že kľúč AWS KMS už nie je viditeľný v Control Hub. |
1 | Prihláste sa do Control Huba prejdite na . |
2 | Prejdite na odstránený kľúč AWS KMS. |
3 | Kliknitea vyberte Obnoviť. |
4 | Potvrďte obnovenie kľúča. Po obnovení vám Control Hub zobrazí kľúč v stave odvolania. |
Ak narazíte na problémy s kľúčom AWS KMS, použite na ich riešenie nasledujúce informácie.
AWS kľúč KMS ARN. Napríklad,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Stav kľúča AWS KMS. Napríklad kľúč AWS KMS je zakázaný.
Tento príklad používa verziu 3.0 nástrojov príkazového riadka OpenSSL. Pozri OpenSSL pre viac informácií o týchto nástrojoch.
1 | Prihláste sa do Control Hub. |
2 | Ísť do . |
3 | Kliknite Stiahnite si verejný kľúč. Verejný kľúč Webex HSM získate v súbore .pem vo vašom lokálnom systéme. |
4 | Vytvorte 256-bitový (32 bajtový) kľúč: Príklad používa názov súboru main_key.bin pre váš nový nezašifrovaný kľúč. Prípadne môžete vygenerovať 32-bajtovú náhodnú hodnotu pomocou Hex dump, Python alebo online generátorov. Môžete tiež vytvorte a spravujte svoj kľúč AWS KMS. |
5 | Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM:
Príklad používa názov súboru main_key_encrypted.bin pre šifrovaný výstupný kľúč a názov súboru cesta/k/public.pem pre verejný kľúč Webex. Šifrovaný kľúč je pripravený na odovzdanie do Control Hub. |