Upravljajte lasten glavni ključ stranke

O glavnih ključih strank

Kot del naše zavezanosti varnosti od konca do konca ima Webex glavni ključ v imenu vsake organizacije. Imenujemo ga glavni ključ, ker ne šifrira neposredno vsebine, ampak se uporablja za šifriranje drugih ključev vaše organizacije, ki šifrirajo vsebino. Osnovna raven hierarhije ključev se imenuje vsebinski ključ (CK), vmesne ravni ključev pa se imenujejo ključi za šifriranje ključev (KEK).

Zavedamo se, da nekatere organizacije raje upravljajo lastno varnost, zato vam dajemo možnost upravljanja lastnega glavnega ključa stranke (CMK). To pomeni, da prevzamete odgovornost za ustvarjanje in rotiranje (ponovno šifriranje) glavnega ključa, ki ga Webex uporablja za šifriranje vaših ključev za šifriranje vsebine.

V prihodnje se ključ nanaša na CMK, razen če je navedeno drugače.

Kako deluje

Webex hrani vaš CMK v strojnem varnostnem modulu (HSM), tako da storitve Webex nimajo dostopa do vrednosti CMK.
Nadzorno središče prikazuje vaš trenutno aktiven ali preklican CMK in vse čakajoče CMK, ki so shranjeni v HSM. Ko morate rotirati (ponovno šifrirati) CMK, ustvarite svoj novi CMK in ga šifrirate z javnim ključem HSM, tako da ga lahko samo HSM dešifrira in shrani.
Nato naložite in aktivirate nov CMK v Control Hub. Webex takoj začne uporabljati novi CMK za šifriranje vaših vsebinskih ključev. Webex obdrži stari CMK, vendar le dokler ni prepričan, da so vaši ključi za šifriranje vsebine zaščiteni z novim CMK.

Vse obstoječe vsebine ne šifriramo retroaktivno. Ko aktivirate svoj CMK, so vse nove vsebine (prostori in sestanki) ponovno šifrirane in zaščitene.

O ključih AWS KMS

Zavedamo se, da nekatere organizacije raje upravljajo svoj ključ zunaj Webexa. Zato vam ponujamo možnost upravljanja lastnega CMK v storitvi za upravljanje ključev Amazon Web Services (AWS) (KMS). To pomeni, da ste odgovorni za upravljanje svojih ključev v AWS KMS. Webex pooblastite za šifriranje in dešifriranje z vašim ključem AWS KMS prek konzole AWS. Webexu posredujete svoj ID ključa AWS KMS namesto vašega CMK. To pomeni, da prevzamete odgovornost za ustvarjanje in rotiranje (ponovno šifriranje) ključa AWS KMS, ki ga Webex uporablja za šifriranje vaših ključev za šifriranje vsebine v oblaku.

Kako deluje

Ključ ustvarite z AWS. AWS KMS se uporablja za upravljanje vašega ključa in shrani ključ v strojni varnostni modul (HSM).
Webexu zagotovite dostop za uporabo ključa AWS KMS prek konzole AWS.

To pomeni, da namesto nalaganja vašega CMK v Control Hub omogočite Webexu dostop do ključa AWS KMS. Ključ AWS KMS ne zapusti vašega AWS KMS in storitve Webex nimajo dostopa do materiala ključev AWS KMS.

Control Hub prikazuje vaš trenutno aktiven ali preklican ključ AWS KMS in vse čakajoče ključe AWS KMS, ki so shranjeni v AWS KMS. Ko morate zasukati ključ AWS KMS, ustvarite svoj novi ključ AWS KMS s konzolo AWS KMS.
Nato dodate in aktivirate nov ključ AWS KMS v Control Hub, pri čemer mu zagotovite Amazonovo ime vira (ARN) novega ključa AWS KMS. Webex takoj začne uporabljati nov ključ AWS KMS za šifriranje vaših vsebinskih ključev. Webex ne potrebuje več starega ključa AWS KMS. Stari ključ AWS KMS bo izginil iz Control Huba, potem ko bodo vaši ključi za šifriranje vsebine zamenjani in zavarovani z novim ključem AWS KMS. Webex ne izbriše ključa AWS KMS iz AWS KMS. Vaš skrbnik stranke lahko odstrani ključ iz AWS KMS.

Ključna stanja in življenjski cikel

Življenjski cikel ključa

Ključne definicije stanja

V teku

Ključ v tem stanju je shranjen v HSM, vendar se še ne uporablja za šifriranje. Webex ne uporablja tega CMK za šifriranje.

V tem stanju je lahko samo en ključ.

Aktiven

Webex trenutno uporablja ta CMK za šifriranje drugih ključev za vašo organizacijo.

V tem stanju je lahko samo en ključ.

Rotacija

Webex začasno uporablja ta CMK. Webex ga potrebuje za dešifriranje vaših podatkov in ključev, ki so bili predhodno šifrirani s tem ključem. Ta ključ se umakne, ko je rotacija (ponovno šifriranje) končana.

V tem stanju je lahko več ključev, če je nov ključ aktiviran, preden je vrtenje končano.

Upokojena

Webex ne uporablja tega CMK. Ta ključ se ne uporablja več za šifriranje. Nastavljen je čas življenja ključa, po katerem se ta ključ odstrani iz HSM.

Preklicano

Webex ne uporablja tega CMK. Tudi če obstajajo podatki in ključi, ki so bili šifrirani s tem ključem, ga Webex ne more uporabiti za dešifriranje podatkov in ključev.

Aktivni ključ morate preklicati le, če sumite, da je ogrožen. To je resna odločitev, saj številnim operacijam preprečuje pravilno delovanje. Na primer, ne boste mogli ustvariti novih prostorov in ne boste mogli dešifrirati nobene vsebine v odjemalcu Webex.
V tem stanju je lahko samo en ključ. Ta ključ morate znova aktivirati, če želite zasukati (ponovno šifrirati) nov ključ.
Ta CMK je mogoče izbrisati, ni pa vam ga treba izbrisati. Morda ga boste želeli obdržati za dešifriranje/ponovno šifriranje, potem ko odpravite domnevno kršitev varnosti.

Izbrisano

Webex ne uporablja tega CMK. Obnašanje v tem stanju je enako kot stanje Preklicano, le da je nastavljen čas življenja ključa, po katerem se ta ključ odstrani iz HSM.

Če izbrisani CMK napreduje v stanje Odstranjeno, morate obnoviti izvirni ključ, da obnovite funkcionalnost organizacije.

Priporočamo, da shranite varnostno kopijo izvirnega ključa, sicer vaša organizacija ne bo več delovala.

Odstranjeno

To je logično stanje. Webex nima tega CMK shranjenega v HSM. Ni prikazano v nadzornem središču.

Zahteve

Lastništvo

Če prevzamete lastništvo svojega CMK, morate:

Prevzemite odgovornost za varno ustvarjanje in varnostno kopiranje vaših ključev
Razumeti posledice izgube ključev
Najboljša praksa je, da znova šifrirate svoj aktivni CMK vsaj enkrat na leto

Ustvarjanje ključev

S temi parametri morate ustvariti svoj CMK. Vaš ključ mora biti:

256 bitov (32 bajtov).
Šifrirano s shemo RSA-OAEP
Šifrirano z javnim ključem HSM v oblaku Webex

Vaša programska oprema za generiranje ključev mora biti zmožna:

Zgoščevalna funkcija SHA-256
Funkcija generiranja maske MGF1
PKCS#1 OAEP oblazinjenje

Nanašati se na primer: Ustvarite in šifrirajte ključe z OpenSSL na zavihku Viri v tem članku.

Pooblastilo

Imeti morate dostop do svoje organizacije Webex v Control Hubu. Morate biti a polni skrbnik za upravljanje vašega CMK.

Ustvarite in aktivirajte svoj glavni ključ stranke

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev. Če želite omogočiti BYOK, preklopite Prinesite svoj ključ (BYOK) na. Če onemogočite BYOK, bo Skupni privzeti ključ Webex postane glavni ključ vaše organizacije.
3	Izberite Naložite ključ po meri in kliknite Naslednji.
4	Kliknite Prenesite javni ključ. Shranite javni ključ Webex HSM v datoteko .pem v vašem lokalnem sistemu.
5	Ustvarite kriptografsko varen 256-bitni (32 bajtov) naključni ključ s programsko opremo za upravljanje ključev.
6	Za šifriranje novega ključa uporabite javni ključ Webex HSM. Zahtevani parametri šifriranja so: Shema RSA-OAEP Zgoščevalna funkcija SHA-256 Funkcija generiranja maske MGF1 PKCS#1 OAEP oblazinjenje Nanašati se na primer: Ustvarite in šifrirajte ključe z OpenSSL na zavihku Viri v tem članku.
7	Povlecite šifrirani ključ iz svojega datotečnega sistema in ga spustite v območje za nalaganje vmesnika Control Hub ali kliknite Izberite datoteko.
8	Kliknite Naslednji. Webex naloži vaš ključ v HSM, kjer se dešifrira in potrdi. Nato vam Control Hub prikaže ID vašega novega CMK in ID trenutno aktivnega CMK, če obstaja. Če je to vaš prvi CMK, je trenutno aktiven ključ Skupni privzeti ključ Webex (tisti, ki ga trenutno uporabljamo za šifriranje ključev vaše organizacije).
9	Izberite, kako želite aktivirati svoj ključ: Aktivirajte nov ključ: Novi CMK takoj preide v aktivno stanje. Prej aktivni CMK gre v Rotacijo (stanje ponovnega šifriranja), dokler vsa vaša vsebina ni zaščitena z novim CMK, nato pa Webex izbriše prej aktivni CMK. Aktiviraj pozneje: Novi CMK se premakne v stanje čakanja. Webex hrani ta CMK v HSM, vendar ga še ne uporablja. Webex še naprej uporablja trenutno aktivni CMK za šifriranje ključev vaše organizacije.

Kaj storiti naprej

Vse obstoječe vsebine ne šifriramo retroaktivno. Ko aktivirate svoj CMK, bo vsa nova vsebina (prostori in sestanki) znova šifrirana in zaščitena.

Obrnite svoj ključ

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev.
3	Pojdite na aktivni CMK.
4	Kliknite in izberite Zasukaj.
5	Ustvarite in šifrirajte nov ključ (če tega še niste storili). Postopek je opisan v Ustvarite in aktivirajte svoj glavni ključ stranke v tem članku.
6	Povlecite nov ključ iz svojega datotečnega sistema in ga spustite v Control Hub.
7	Kliknite Aktivirajte nov ključ. Nov ključ, ki ste ga naložili, preide v aktivno stanje. Stari CMK ostane v rotaciji (stanje ponovnega šifriranja), dokler Webex ne zaključi šifriranja vse svoje vsebine z novim aktivnim CMK. Po ponovnem šifriranju se ključ premakne v stanje umika. Webex nato izbriše stari CMK.

Prekliči svoj ključ

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev.
3	Pojdite na aktivni ključ.
4	Kliknite in izberite Prekliči.
5	Potrdite preklic ključa. Popoln preklic ključa lahko traja do 10 minut.

Ponovno aktivirajte preklicani ključ

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev.
3	Pojdite na trenutno preklicani ključ.
4	Kliknite in izberite Aktiviraj.
5	Potrdite aktivacijo ključa. Prej preklicani ključ preide v aktivno stanje.

Izbrišite preklicani ključ

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev.
3	Pojdite na preklicani ključ.
4	Kliknite in izberite Izbriši.
5	Potrdite izbris ključa. Ko je ključ izbrisan, ga lahko obnovite v 30 dneh.

Obnovite preklicani ključ

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev.
3	Pojdite na izbrisani ključ.
4	Kliknite in izberite Razveljavi brisanje.
5	Potrdite obnovitev ključa. Ko je ključ obnovljen, vam Control Hub prikaže ključ v stanju Preklicano, preden je bil izbrisan. Če na primer izbrišete preklicani ključ in ga nato obnovite, Control Hub prikaže obnovljeni ključ v stanju Preklican.

Zahteve

Lastništvo

Če prevzamete lastništvo ključa AWS KMS, morate:

Prevzemite odgovornost za varno ustvarjanje in varnostno kopiranje vaših ključev AWS KMS.
Razumeti posledice izgube ključev AWS KMS.
Ponovno šifrirajte svoj aktivni ključ AMS KMS vsaj enkrat na leto kot najboljšo prakso.

Pooblastilo

Morate biti pooblaščeni za ustvarjanje in upravljanje svojih ključev v AWS KMS za vašo organizacijo Webex.
Imeti morate dostop do svoje organizacije Webex v Control Hubu. Morate biti a polni skrbnik za upravljanje ključa AWS KMS.

Ustvarite ključ AWS KMS

1	Prijavite se v AWS in pojdite na konzolo AWS KMS.
2	Izberite Ključi, ki jih upravlja stranka in nato kliknite Ustvari ključ.
3	Ustvarite ključ z naslednjimi atributi: Vrsta ključa—Izberite Simetrično. Uporaba ključa—Izberite Šifrirajte in dešifrirajte. Oznake—vnesite vzdevek, opis in oznake. Ključni skrbniki—izberite uporabnike in vloge ključnih skrbnikov vaše organizacije. Brisanje ključa—Preveri Dovolite skrbnikom ključev, da izbrišejo ta ključ. Ključni uporabniki—izberite ključne uporabnike in vloge vaše organizacije.
4	Kliknite Naslednji.
5	Preglejte svoje nastavitve in kliknite Končaj. Vaš ključ AWS KMS je ustvarjen.
6	Pojdi do Ključi, ki jih upravlja stranka in kliknite vzdevek ali ID ključa, da si ogledate ARN.

Kaj storiti naprej

Priporočamo, da obdržite začasno kopijo ARN. Ta ARN se uporablja za dodajanje in aktiviranje vašega ključa AWS KMS v Control Hub.

Pooblastite Cisco KMS z dostopom do ključa AWS KMS

Prijavite se v AWS in pojdite na konzolo AWS CloudShell.

Teči create-grant pooblastiti Webex na naslednji način:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Na primer:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

The KMS_CISCO_USER_ARN je specifično za vašo organizacijo. ARN je prikazan v oknu Dodajte svoj ključ AWS, ko aktivirate svoj novi ključ AWK KMS v Control Hubu.

Dodajte in aktivirajte svoj ključ AWS KMS

Preden začneš

Preden ga aktivirate v Control Hubu, morate ustvariti ključ AWS KMS. Nanašati se na Ustvarite ključ AWS KMS v tem članku.

Webexu morate zagotoviti dostop do ključa AWS KMS. Nanašati se na Pooblastite Cisco KMS z dostopom do ključa AWS KMS v tem članku.

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev, in preklopite Prinesite svoj ključ (BYOK) na. Če onemogočite BYOK, bo Skupni privzeti ključ Webex postane glavni ključ vaše organizacije.
3	Izberite Dodajte ključ AWS KMS in kliknite Naslednji.
4	Pridobite ARN iz konzole AWS.
5	Vnesite ARN v Control Hub in kliknite Dodaj. Vaš ključ ARN se naloži v Cisco KMS, kjer se potrdi dostop do ključa. Nato vam Control Hub prikaže ID ključa Cisco KMS vašega novega ključa AWS KMS in trenutno aktivni ID ključa Cisco KMS, če obstaja. Če je to vaš prvi ključ AWS KMS, je trenutno aktivni ključ Skupni privzeti ključ Webex (tisti, ki ga trenutno uporabljamo za šifriranje ključev vaše organizacije).
6	Izberite, kako želite aktivirati svoj ključ: Aktiviraj: Nov ključ AWS KMS takoj preide v aktivno stanje. Aktiviraj pozneje: Novi ključ AWS KMS se premakne v stanje čakanja. Webex hrani ta ARN ključa AWS KMS v Cisco KMS, vendar ga še ne uporablja. Webex še naprej uporablja trenutno aktivni ključ AWS KMS za šifriranje ključev vaše organizacije.

Obrnite svoj ključ AWS KMS

1	Prijavite se v Nadzorno središče, in pojdite na Nastavitve organizacije > Upravljanje ključev.
2	Pojdite na aktivni ključ AWS KMS.
3	Kliknite in izberite Zasukaj.
4	Vnesite svoj novi ključ AWS KMS in novi ARN ter kliknite Dodaj. Postopek je opisan v Dodajte in aktivirajte svoj ključ AMS KMS v tem članku.
5	Kliknite Aktiviraj. Nov ključ AWS KMS, ki ste ga naložili, preide v aktivno stanje. Stari ključ AWS KMS ostane v stanju vrtenja, dokler Webex ne zaključi šifriranja vse svoje vsebine z novim aktivnim ključem AWS KMS. Po ponovnem šifriranju stari ključ AWS KMS samodejno izgine iz Control Huba.

Zasukajte, da dodate še en ključ AWS KMS (izbirno)

1	Prijavite se v Nadzorno središče, in pojdite na Nastavitve organizacije > Upravljanje ključev.
2	Kliknite Dodajte še en ključ.
3	Vnesite svoj novi ključ AWS KMS in kliknite Dodaj. Control Hub vam prikaže ID ključa Cisco KMS vašega novega ključa AWS KMS in ID trenutno aktivnega ID-ja ključa Cisco KMS. Postopek je opisan v Dodajte in aktivirajte svoj ključ AMS KMS v tem članku.
4	Kliknite Aktiviraj. Nov ključ AWS KMS, ki ste ga naložili, preide v aktivno stanje. Stari ključ AWS KMS ostane v stanju vrtenja, dokler Webex ne zaključi šifriranja vse svoje vsebine z novim aktivnim ključem AWS KMS. Po ponovnem šifriranju stari ključ AWS KMS samodejno izgine iz Control Huba.

Prekličite svoj ključ AWS KMS

1	Prijavite se v Nadzorno središče, in pojdite na Nastavitve organizacije > Upravljanje ključev.
2	Pojdite na trenutno aktivni ključ AWS KMS.
3	Kliknite in izberite Lokalno prekliči.
4	Potrdite preklic ključa. Popoln preklic ključa lahko traja do 10 minut. Ključ AWS KMS preide v stanje lokalno preklicano.

Če skrbnik vaše stranke prekliče ključ iz konzole AWS KMS, je ključ AWS KMS prikazan v stanju Preklicano s strani Amazon v središču Control Hub.

Izbrišite svoj ključ AWS KMS

1	Prijavite se v Nadzorno središče, in pojdite na Nastavitve organizacije > Upravljanje ključev.
2	Pojdite na preklicani ključ AWS KMS.
3	Kliknite in izberite Izbriši.
4	Potrdite izbris ključa. Po izbrisu lahko ključ obnovite v 30 dneh.

Priporočamo, da najprej izbrišete ključ AWS KMS iz Control Huba, preden izbrišete svoj CMK iz konzole AWS. Če izbrišete svoj CMK iz konzole AWS, preden izbrišete ključ AWS KMS v Control Hubu, lahko naletite na težave.

Prepričajte se, da ključ AWS KMS ni več viden v Control Hubu, preden izbrišete svoj CMK iz konzole AWS.

Obnovite svoj ključ AWS KMS

1	Prijavite se v Nadzorno središče, in pojdite na Nastavitve organizacije > Upravljanje ključev.
2	Pojdite na izbrisani ključ AWS KMS.
3	Kliknite in izberite Razveljavi brisanje.
4	Potrdite obnovitev ključa. Po obnovitvi vam Control Hub prikaže ključ v preklicanem stanju.

Odpravite težave s ključem AWS KMS

Če naletite na težave s ključem AWS KMS, uporabite naslednje informacije za odpravljanje težav.

AWS KMS ključ ARN. na primer arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Podatki na ključu AWS KMS.
Stanje ključa AWS KMS. Na primer, ključ AWS KMS je onemogočen.

primer: Ustvarite in šifrirajte ključe z OpenSSL

Ta primer uporablja različico 3.0 orodij ukazne vrstice OpenSSL. glej OpenSSL za več o teh orodjih.

1	Prijavite se v Nadzorno središče.
2	Pojdi do Nastavitve organizacije > Upravljanje ključev.
3	Kliknite Prenesite javni ključ. Javni ključ Webex HSM dobite v datoteki .pem v vašem lokalnem sistemu.
4	Ustvarite 256-bitni (32-bajtni) ključ: `openssl rand 32 -out main_key.bin` Primer uporablja ime datoteke main_key.bin za vaš nešifrirani novi ključ.
5	Za šifriranje novega ključa uporabite javni ključ Webex HSM: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Primer uporablja ime datoteke main_key_encrypted.bin za šifrirani izhodni ključ in ime datoteke pot/do/public.pem za javni ključ Webex. Šifrirani ključ je pripravljen za nalaganje v Control Hub.