Spravujte svoj vlastný hlavný kľúč zákazníka

O hlavných kľúčoch zákazníka

Ako súčasť nášho záväzku poskytovať komplexnú bezpečnosť má Webex hlavný kľúč v mene každej organizácie. Nazývame ho hlavný kľúč, pretože nešifruje obsah priamo, ale používa sa na šifrovanie iných kľúčov vašej organizácie, ktoré šifrujú obsah. Základná úroveň hierarchie kľúčov sa nazýva kľúč obsahu (CK) a stredné úrovne kľúčov sa nazývajú kľúče šifrovania kľúčov (KEK).

Uvedomujeme si, že niektoré organizácie uprednostňujú správu svojej vlastnej bezpečnosti, preto vám dávame možnosť spravovať svoj vlastný hlavný kľúč zákazníka (CMK). To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné zašifrovanie) hlavného kľúča, ktorý Webex používa na šifrovanie vašich kľúčov na šifrovanie obsahu.

V budúcnosti sa kľúč vzťahuje na CMK, pokiaľ nie je uvedené inak.

Ako to funguje

Webex uchováva váš CMK v hardvérovom bezpečnostnom module (HSM), takže služby Webexu nemajú prístup k hodnote CMK.
Control Hub zobrazuje vaše aktuálne aktívne alebo zrušené CMK a všetky čakajúce CMK, ktoré sú uložené v HSM. Keď potrebujete otočiť (znovu zašifrovať) CMK, vygenerujete svoj nový CMK a zašifrujete ho verejným kľúčom HSM, takže ho môže dešifrovať a uložiť iba HSM.
Potom nahráte a aktivujete nový CMK v Control Hub. Webex okamžite začne používať nový CMK na šifrovanie vašich obsahových kľúčov. Webex si ponecháva starý CMK, ale len dovtedy, kým si nie je istý, že vaše šifrovacie kľúče obsahu sú zabezpečené novým CMK.

Spätne nešifrujeme všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (Space a stretnutia) znova zašifrovaný a chránený.

O kľúčoch AWS KMS

Uvedomujeme si, že niektoré organizácie uprednostňujú spravovanie vlastného kľúča mimo Webex. Preto vám dávame možnosť spravovať svoj vlastný CMK v službe Amazon Web Services (AWS) Key Management Service (KMS). To znamená, že ste zodpovední za správu svojich kľúčov v AWS KMS. Autorizujete Webex na šifrovanie a dešifrovanie pomocou vášho kľúča AWS KMS prostredníctvom konzoly AWS. Webexu poskytnete svoje ID kľúča AWS KMS namiesto svojho CMK. To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné zašifrovanie) kľúča AWS KMS, ktorý Webex používa na šifrovanie vašich kľúčov na šifrovanie obsahu v cloude.

Ako to funguje

Kľúč vytvoríte pomocou AWS. AWS KMS sa používa na správu vášho kľúča a ukladá kľúč do hardvérového bezpečnostného modulu (HSM).
Webexu poskytujete prístup na používanie kľúča AWS KMS prostredníctvom konzoly AWS.

To znamená, že namiesto nahrávania CMK do Control Hub poskytujete Webexu prístup ku kľúču AWS KMS. Kľúč AWS KMS neopustí vaše AWS KMS a služby Webex nemajú prístup ku kľúčovým materiálom AWS KMS.

Control Hub zobrazuje váš aktuálne aktívny alebo odvolaný kľúč AWS KMS a akýkoľvek čakajúci kľúč AWS KMS, ktorý je uložený v AWS KMS. Keď potrebujete otočiť kľúč AWS KMS, vygenerujete svoj nový kľúč AWS KMS pomocou konzoly AWS KMS.
Potom pridáte a aktivujete nový kľúč AWS KMS v Control Hub a poskytnete mu názov Amazon Resource Name (ARN) nového kľúča AWS KMS. Webex okamžite začne používať nový kľúč AWS KMS na šifrovanie vašich kľúčov obsahu. Webex už nevyžaduje starý kľúč AWS KMS. Starý kľúč AWS KMS zmizne z Control Hub po otočení kľúčov na šifrovanie obsahu a ich zabezpečení novým kľúčom AWS KMS. Webex neodstráni kľúč AWS KMS z AWS KMS. Váš správca zákazníka môže odstrániť kľúč z AWS KMS.

Kľúčové stavy a životný cyklus

Kľúčový životný cyklus

Definície kľúčových stavov

Čaká na spracovanie

Kľúč v tomto stave je uložený v HSM, ale ešte sa nepoužíva na šifrovanie. Webex nepoužíva tento CMK na šifrovanie.

V tomto stave môže byť iba jeden kľúč.

Aktívne

Webex momentálne používa tento CMK na šifrovanie iných kľúčov pre vašu organizáciu.

V tomto stave môže byť iba jeden kľúč.

Rotácia

Webex dočasne používa túto CMK. Webex ho potrebuje na dešifrovanie vašich údajov a kľúčov, ktoré boli predtým zašifrované týmto kľúčom. Po dokončení rotácie (opätovného šifrovania) sa tento kľúč zruší.

V tomto stave môže byť viacero kľúčov, ak sa pred dokončením otáčania aktivuje nový kľúč.

na dôchodku

Webex nepoužíva tento CMK. Tento kľúč sa už nepoužíva na šifrovanie. Nastaví sa doba životnosti kľúča, po ktorej sa tento kľúč odstráni z HSM.

Odvolané

Webex nepoužíva tento CMK. Aj keď existujú údaje a kľúče, ktoré boli zašifrované týmto kľúčom, Webex ho nemôže použiť na dešifrovanie údajov a kľúčov.

Aktívny kľúč musíte odvolať len vtedy, ak máte podozrenie, že je napadnutý. Toto je vážne rozhodnutie, pretože mnohým operáciám bráni v správnom správaní. Napríklad nebudete môcť vytvárať nové priestory a nebudete môcť dešifrovať žiadny obsah vo Webex Client.
V tomto stave môže byť iba jeden kľúč. Ak chcete otočiť (opätovne zašifrovať) nový kľúč, musíte tento kľúč znova aktivovať.
Túto CMK je možné vymazať, ale nemusíte ju vymazať. Možno si ho budete chcieť ponechať na dešifrovanie/opätovné zašifrovanie po vyriešení podozrenia z narušenia bezpečnosti.

Odstránené

Webex nepoužíva tento CMK. Správanie v tomto stave je rovnaké ako v stave Odvolané s výnimkou toho, že je nastavený kľúčový čas životnosti, po ktorom sa tento kľúč odstráni z HSM.

Ak vymazaný CMK prejde do stavu Odstránené, musíte obnoviť pôvodný kľúč, aby sa obnovila funkčnosť organizácie.

Odporúčame vám, aby ste si ponechali záložnú kópiu pôvodného kľúča, inak vaša organizácia prestane fungovať.

Odstránený

Toto je logický stav. Webex nemá tento CMK uložený v HSM. Nezobrazuje sa v Control Hub.

Požiadavky

Vlastníctvo

Prevzatím vlastníctva CMK musíte:

Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie vašich kľúčov
Pochopte dôsledky straty kľúčov
Opätovne zašifrujte svoje aktívne CMK aspoň raz za rok ako osvedčený postup

Vytvorenie kľúča

Pomocou týchto parametrov si musíte vytvoriť svoj vlastný CMK. Váš kľúč musí byť:

Dĺžka 256 bitov (32 bajtov).
Šifrované pomocou schémy RSA-OAEP
Šifrované verejným kľúčom Webex cloud HSM

Váš softvér na generovanie kľúčov musí byť schopný:

Hašovacia funkcia SHA-256
Funkcia generovania masky MGF1
Výplň PKCS#1 OAEP

Odkazujú na Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.

Autorizácia

Musíte mať prístup k svojej organizácii Webex v Control Hub. Musíte byť a úplný správca spravovať svoje CMK.

Vytvorte a aktivujte svoj hlavný kľúč zákazníka

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov. Ak chcete povoliť BYOK, prepnite Prineste si vlastný kľúč (BYOK) na. Ak zakážete BYOK, Spoločný predvolený kľúč Webex sa stane hlavným kľúčom pre vašu organizáciu.
3	Vyberte Nahrajte vlastný kľúč a kliknite Ďalšie.
4	Kliknite Stiahnite si verejný kľúč. Uložte verejný kľúč Webex HSM do súboru .pem vo vašom lokálnom systéme.
5	Vytvorte kryptograficky bezpečný 256-bitový (32 bajtový) náhodný kľúč pomocou softvéru na správu kľúčov.
6	Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM. Požadované parametre šifrovania sú: Schéma RSA-OAEP Hašovacia funkcia SHA-256 Funkcia generovania masky MGF1 Výplň PKCS#1 OAEP Odkazujú na Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.
7	Presuňte šifrovaný kľúč zo systému súborov a pustite ho do oblasti nahrávania rozhrania Control Hub alebo kliknite Vyberte súbor.
8	Kliknite Ďalšie. Webex odovzdá váš kľúč do HSM, kde sa dešifruje a overí. Potom vám Control Hub zobrazí ID vášho nového CMK a ID aktuálne aktívneho CMK, ak existuje. Ak je toto váš prvý CMK, aktuálne aktívny kľúč je Spoločný predvolený kľúč Webex (ten, ktorý v súčasnosti používame na šifrovanie kľúčov vašej organizácie).
9	Vyberte, ako chcete aktivovať svoj kľúč: Aktivujte nový kľúč: Nová CMK okamžite prejde do aktívneho stavu. Predtým aktívny CMK prejde do rotácie (reencrypting state), kým všetok váš obsah nebude chránený novým CMK, potom Webex vymaže predtým aktívny CMK. Aktivovať neskôr: Nová CMK sa sťahuje do stavu Čaká. Webex si tento CMK ponecháva v HSM, ale zatiaľ ho nepoužíva. Webex naďalej používa aktuálne aktívny CMK na šifrovanie kľúčov vašej organizácie.

Čo urobiť ďalej

Spätne nešifrujeme všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (Space a stretnutia) znova zašifrovaný a chránený.

Otočte kľúčom

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov.
3	Prejdite do aktívneho CMK.
4	Kliknite a vyberte Točiť sa.
5	Vytvorte a zašifrujte nový kľúč (ak ste tak ešte neurobili). Proces je opísaný v Vytvorte a aktivujte svoj hlavný kľúč zákazníka v tomto článku.
6	Presuňte nový kľúč zo systému súborov a pustite ho do Control Hub.
7	Kliknite Aktivujte nový kľúč. Nový kľúč, ktorý ste nahrali, prejde do aktívneho stavu. Starý CMK zostane v režime Rotation (reencrypting state), kým Webex nedokončí šifrovanie celého svojho obsahu pomocou nového Active CMK. Po opätovnom zašifrovaní sa kľúč presunie do stavu Vyradené. Webex potom vymaže staré CMK.

Zrušte svoj kľúč

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov.
3	Prejdite na aktívny kľúč.
4	Kliknite a vyberte Odvolať.
5	Potvrďte zrušenie kľúča. Úplné odvolanie kľúča môže trvať až 10 minút.

Znova aktivujte svoj odvolaný kľúč

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov.
3	Prejdite na aktuálne odvolaný kľúč.
4	Kliknite a vyberte Aktivovať.
5	Potvrďte aktiváciu kľúča. Predtým odvolaný kľúč prejde do aktívneho stavu.

Odstráňte svoj odvolaný kľúč

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov.
3	Prejdite na odvolaný kľúč.
4	Kliknite a vyberte Odstrániť.
5	Potvrďte vymazanie kľúča. Po odstránení máte možnosť obnoviť kľúč do 30 dní.

Obnovte svoj odvolaný kľúč

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov.
3	Prejdite na odstránený kľúč.
4	Kliknite a vyberte Obnoviť.
5	Potvrďte obnovenie kľúča. Po obnovení vám Control Hub zobrazí kľúč v stave Revoked, než bol odstránený. Ak napríklad odstránite odvolaný kľúč a potom ho obnovíte, Control Hub zobrazí obnovený kľúč v stave odvolania.

Požiadavky

Vlastníctvo

Prevzatím vlastníctva vášho kľúča AWS KMS musíte:

Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie vašich kľúčov AWS KMS.
Pochopte dôsledky straty kľúčov AWS KMS.
Opätovne zašifrujte svoj aktívny kľúč AMS KMS aspoň raz za rok ako osvedčený postup.

Autorizácia

Musíte mať oprávnenie vytvárať a spravovať svoje kľúče v AWS KMS pre vašu organizáciu Webex.
Musíte mať prístup k svojej organizácii Webex v Control Hub. Musíte byť a úplný správca na správu kľúča AWS KMS.

Vytvorte kľúč AWS KMS

1	Prihláste sa do AWS a prejdite na konzolu AWS KMS.
2	Vyberte Kľúče spravované zákazníkom a potom kliknite Vytvoriť kľúč.
3	Vytvorte kľúč s nasledujúcimi atribútmi: Typ kľúča – vyberte Symetrický. Použitie kľúča – vyberte Šifrovať a dešifrovať. Štítky – zadajte alias, popis a štítky. Kľúčoví správcovia – vyberte používateľov a roly kľúčových správcov vašej organizácie. Vymazanie kľúča – skontrolujte Povoliť správcom kľúčov odstrániť tento kľúč. Kľúčoví používatelia – vyberte kľúčových používateľov a roly vašej organizácie.
4	Kliknite Ďalšie.
5	Skontrolujte nastavenia a kliknite Skončiť. Váš kľúč AWS KMS je vytvorený.
6	Ísť do Kľúče spravované zákazníkom a kliknutím na Alias alebo Key ID zobrazíte ARN.

Čo urobiť ďalej

Odporúčame vám ponechať si dočasnú kópiu ARN. Toto ARN sa používa na pridanie a aktiváciu kľúča AWS KMS v Control Hub.

Autorizujte Cisco KMS s prístupom ku kľúču AWS KMS

Prihláste sa do AWS a prejdite na konzolu AWS CloudShell.

Bežať create-grant autorizovať Webex takto:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Napríklad:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

The KMS_CISCO_USER_ARN je špecifický pre vašu organizáciu. ARN sa zobrazí v okne Pridať kľúč AWS pri aktivácii nového kľúča AWK KMS v Control Hub.

Pridajte a aktivujte svoj kľúč AWS KMS

Predtým ako začneš

Pred jeho aktiváciou v Control Hub musíte vytvoriť kľúč AWS KMS. Odkazujú na Vytvorte kľúč AWS KMS v tomto článku.

Webexu musíte poskytnúť prístup ku kľúču AWS KMS. Odkazujú na Autorizujte Cisco KMS s prístupom ku kľúču AWS KMS v tomto článku.

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčova prepínať Prineste si vlastný kľúč (BYOK) na. Ak zakážete BYOK, Spoločný predvolený kľúč Webex sa stane hlavným kľúčom pre vašu organizáciu.
3	Vyberte Pridajte kľúč AWS KMS a kliknite Ďalšie.
4	Získajte ARN z konzoly AWS.
5	Zadajte ARN v Control Hub a kliknite Pridať. ARN vášho kľúča sa nahrá do Cisco KMS, kde sa overí prístup ku kľúču. Potom vám Control Hub zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a aktuálne aktívne ID kľúča Cisco KMS, ak existuje. Ak je toto váš prvý kľúč AWS KMS, aktuálne aktívny kľúč je Spoločný predvolený kľúč Webex (ten, ktorý v súčasnosti používame na šifrovanie kľúčov vašej organizácie).
6	Vyberte, ako chcete aktivovať svoj kľúč: Aktivovať: Nový kľúč AWS KMS okamžite prejde do aktívneho stavu. Aktivovať neskôr: Nový kľúč AWS KMS sa presunie do stavu Čaká. Webex uchováva tento AWS KMS kľúč ARN v Cisco KMS, ale zatiaľ ho nepoužíva. Webex naďalej používa aktuálne aktívny kľúč AWS KMS na šifrovanie kľúčov vašej organizácie.

Otočte kľúčom AWS KMS

1	Prihláste sa do Control Huba prejdite na Nastavenia organizácie > Správa kľúčov.
2	Prejdite na aktívny kľúč AWS KMS.
3	Kliknite a vyberte Točiť sa.
4	Zadajte svoj nový kľúč AWS KMS a nové ARN a kliknite Pridať. Proces je opísaný v Pridajte a aktivujte svoj kľúč AMS KMS v tomto článku.
5	Kliknite Aktivovať. Nový kľúč AWS KMS, ktorý ste nahrali, prejde do aktívneho stavu. Starý kľúč AWS KMS zostane v rotujúcom stave, kým Webex nedokončí šifrovanie celého obsahu pomocou nového kľúča Active AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub.

Otočením pridáte ďalší kľúč AWS KMS (voliteľné)

1	Prihláste sa do Control Huba prejdite na Nastavenia organizácie > Správa kľúčov.
2	Kliknite Pridajte ďalší kľúč.
3	Zadajte svoj nový kľúč AWS KMS a kliknite Pridať. Control Hub vám zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a ID aktuálne aktívneho kľúča Cisco KMS. Proces je opísaný v Pridajte a aktivujte svoj kľúč AMS KMS v tomto článku.
4	Kliknite Aktivovať. Nový kľúč AWS KMS, ktorý ste nahrali, prejde do aktívneho stavu. Starý kľúč AWS KMS zostane v rotujúcom stave, kým Webex nedokončí šifrovanie celého obsahu pomocou nového kľúča Active AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub.

Zrušte svoj kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite na Nastavenia organizácie > Správa kľúčov.
2	Prejdite na aktuálne aktívny kľúč AWS KMS.
3	Kliknite a vyberte Lokálne odvolať.
4	Potvrďte zrušenie kľúča. Úplné odvolanie kľúča môže trvať až 10 minút. Kľúč AWS KMS prejde do stavu Lokálne odvolaný.

Ak váš správca zákazníka odvolá kľúč z konzoly AWS KMS, kľúč AWS KMS sa zobrazí v stave Odvolané spoločnosťou Amazon v Control Hub.

Odstráňte kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite na Nastavenia organizácie > Správa kľúčov.
2	Prejdite na odvolaný kľúč AWS KMS.
3	Kliknite a vyberte Odstrániť.
4	Potvrďte vymazanie kľúča. Po odstránení môžete kľúč obnoviť do 30 dní.

Pred odstránením CMK z konzoly AWS vám odporúčame vymazať kľúč AWS KMS z Control Hub. Ak vymažete CMK z konzoly AWS pred odstránením kľúča AWS KMS v Control Hub, môžete naraziť na problémy.

Pred odstránením CMK z konzoly AWS sa uistite, že kľúč AWS KMS už nie je viditeľný v Control Hub.

Obnovte svoj kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite na Nastavenia organizácie > Správa kľúčov.
2	Prejdite na odstránený kľúč AWS KMS.
3	Kliknite a vyberte Obnoviť.
4	Potvrďte obnovenie kľúča. Po obnovení vám Control Hub zobrazí kľúč v stave odvolania.

Riešenie problémov s kľúčom AWS KMS

Ak narazíte na problémy s kľúčom AWS KMS, použite na ich riešenie nasledujúce informácie.

AWS kľúč KMS ARN. Napríklad, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Udeľuje kľúč AWS KMS.
Stav kľúča AWS KMS. Napríklad kľúč AWS KMS je zakázaný.

Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL

Tento príklad používa verziu 3.0 nástrojov príkazového riadka OpenSSL. Pozri OpenSSL pre viac informácií o týchto nástrojoch.

1	Prihláste sa do Control Hub.
2	Ísť do Nastavenia organizácie > Správa kľúčov.
3	Kliknite Stiahnite si verejný kľúč. Verejný kľúč Webex HSM získate v súbore .pem vo vašom lokálnom systéme.
4	Vytvorte 256-bitový (32 bajtový) kľúč: `openssl rand 32 -out main_key.bin` Príklad používa názov súboru main_key.bin pre váš nový nezašifrovaný kľúč.
5	Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Príklad používa názov súboru main_key_encrypted.bin pre šifrovaný výstupný kľúč a názov súboru cesta/k/public.pem pre verejný kľúč Webex. Šifrovaný kľúč je pripravený na odovzdanie do Control Hub.