O glavnih ključih stranke

Kot del naše zaveze k celoviti varnosti ima Webex glavni ključ v imenu vsake organizacije. Glavnemu ključu pravimo glavni ključ, ker ne šifrira neposredno vsebine, temveč se uporablja za šifriranje drugih ključev vaše organizacije, ki šifrirajo vsebino. Osnovna raven hierarhije ključev se imenuje ključ vsebine (CK), vmesne ravni ključev pa se imenujejo šifrirni ključi (KEK).

Zavedamo se, da nekatere organizacije raje same upravljajo svojo varnost, zato vam ponujamo možnost upravljanja lastnega glavnega ključa stranke (CMK). To pomeni, da prevzamete odgovornost za ustvarjanje in obračanje (ponovno šifriranje) glavnega ključa, ki ga Webex uporablja za šifriranje ključev šifriranja vsebine.

V prihodnje se ključ nanaša na CMK, če ni drugače določeno.

Kako deluje

  1. Webex hrani vaš CMK v varnostnem modulu strojne opreme (HSM), tako da storitve Webex nimajo dostopa do vrednosti CMK.

  2. V vozlišču Control Hub so prikazani trenutno aktivni ali preklicani CMK in vsi čakajoči CMK, ki so shranjeni v HSM. Ko morate CMK obrniti (ponovno šifrirati), ustvarite nov CMK in ga šifrirajte z javnim ključem HSM, tako da ga lahko dešifrira in shrani samo HSM.

  3. Nato v vozlišču Control Hub naložite in aktivirajte nov CMK. Webex takoj začne uporabljati novi CMK za šifriranje ključev vsebine. Webex ohrani stari CMK, vendar le, dokler se ne prepriča, da so ključi za šifriranje vsebine zaščiteni z novim CMK.

Vseh obstoječih vsebin ne šifriramo za nazaj. Ko aktivirate svoj CMK, so vse nove vsebine (Prostori in sestanki) ponovno šifrirane in zaščitene.
O ključih AWS KMS

Zavedamo se, da nekatere organizacije raje upravljajo svoje ključe zunaj storitve Webex. Zato vam ponujamo možnost upravljanja lastnih ključev CMK v storitvi za upravljanje ključev (KMS) Amazonovih spletnih storitev (AWS). To pomeni, da ste sami odgovorni za upravljanje ključev v sistemu KMS AWS. Družbi Webex prek konzole AWS dovolite šifriranje in dešifriranje z uporabo ključa KMS AWS. Družbi Webex namesto ključa CMK posredujete ID ključa AWS KMS. To pomeni, da prevzamete odgovornost za ustvarjanje in obračanje (ponovno šifriranje) ključa AWS KMS, ki ga Webex uporablja za šifriranje ključev šifriranja vsebine v oblaku.

Kako deluje

  1. V sistemu AWS ustvarite ključ. KMS AWS se uporablja za upravljanje ključa in ga shranjuje v varnostnem modulu strojne opreme (HSM).

  2. Družbi Webex omogočite dostop do uporabe ključa AWS KMS prek konzole AWS.

    To pomeni, da namesto prenosa ključa CMK v vozlišče Control Hub družbi Webex omogočite dostop do ključa AWS KMS. Ključ AWS KMS ne zapusti vašega sistema AWS KMS in storitve Webex nimajo dostopa do gradiva ključa AWS KMS.

    Nadzorno središče prikazuje vaš trenutno aktivni ali preklicani ključ AWS KMS in vse čakajoče ključe AWS KMS, ki so shranjeni v sistemu AWS KMS. Ko morate zamenjati ključ AWS KMS, v konzoli AWS KMS ustvarite nov ključ AWS KMS.

  3. Nato dodate in aktivirate nov ključ AWS KMS v nadzornem središču in mu posredujete ime vira Amazon (ARN) novega ključa AWS KMS. Webex takoj začne uporabljati nov ključ AWS KMS za šifriranje ključev vsebine. Webex ne potrebuje več starega ključa KMS AWS. Stari ključ AWS KMS bo iz nadzornega središča izginil, ko bodo ključi za šifriranje vsebine obrnjeni in zaščiteni z novim ključem AWS KMS. Webex ne izbriše ključa AWS KMS iz sistema AWS KMS. Skrbnik stranke lahko ključ odstrani iz sistema AWS KMS.

Ključna stanja in življenjski cikel

Življenjski cikel ključa

Ključne opredelitve stanja

V teku

Ključ v tem stanju je shranjen v mehanizmu HSM, vendar se še ne uporablja za šifriranje. Webex tega CMK ne uporablja za šifriranje.

V tem stanju je lahko samo en ključ.
Aktivno

Webex trenutno uporablja ta CMK za šifriranje drugih ključev za vašo organizacijo.

V tem stanju je lahko samo en ključ.
Vrtenje

Webex začasno uporablja ta CMK. Webex ga potrebuje za dešifriranje podatkov in ključev, ki so bili predhodno šifrirani s tem ključem. Ta ključ se umakne, ko je rotacija (ponovno šifriranje) končana.

V tem stanju je lahko več tipk, če se nova tipka aktivira, preden se vrtenje konča.
Umaknjeno

Webex ne uporablja tega CMK. Ta ključ se ne uporablja več za šifriranje. Določi se čas trajanja ključa, po katerem se ta ključ odstrani iz HSM.

Razveljavljeno

Webex ne uporablja tega CMK. Tudi če obstajajo podatki in ključi, ki so bili šifrirani s tem ključem, ga Webex ne more uporabiti za dešifriranje podatkov in ključev.

  • Aktivni ključ morate preklicati le, če sumite, da je ogrožen. To je resna odločitev, saj preprečuje pravilno delovanje številnih operacij. Na primer, ne boste mogli ustvariti novih prostorov in ne boste mogli dešifrirati nobene vsebine v programu Webex Client.
  • V tem stanju je lahko samo en ključ. Ta ključ morate ponovno aktivirati, če želite obrniti (ponovno šifrirati) nov ključ.
  • Ta CMK lahko izbrišete, vendar vam ga ni treba izbrisati. Morda ga boste želeli shraniti za dešifriranje/ponovno šifriranje, ko boste odpravili domnevno kršitev varnosti.
Izbrisano

Webex ne uporablja tega CMK. Obnašanje v tem stanju je enako kot v stanju Odpoklicano, le da se določi čas trajanja ključa, po katerem se ta ključ odstrani iz HSM.

  • Če izbrisani CMK preide v stanje Odstranjeno, morate obnoviti izvirni ključ, da ponovno vzpostavite funkcionalnost organizacije.
  • Priporočamo, da shranite varnostno kopijo izvirnega ključa, sicer vaša organizacija ne bo več delovala.
Odstranjeno

To je logično stanje. Webex nima tega CMK shranjenega v mehanizmu HSM. V nadzornem vozlišču ni prikazana.

Zahteve

Lastništvo

S prevzemom lastništva nad svojim CMK morate:

  • Prevzemite odgovornost za varno ustvarjanje in varnostno kopiranje ključev
  • Razumevanje posledic izgube ključev
  • Aktivni CMK ponovno šifrirajte vsaj enkrat na leto, kar je najboljša praksa.

Ustvarjanje ključev

S temi parametri morate ustvariti svoj CMK. Vaš ključ mora biti:

  • 256 bitov (32 bajtov) dolgo
  • Šifriranje s shemo RSA-OAEP
  • Šifrirano z javnim ključem HSM v oblaku Webex

Programska oprema za izdelavo ključev mora omogočati:

  • hash funkcija SHA-256
  • Funkcija ustvarjanja maske MGF1
  • Polnilo PKCS#1 OAEP

Oglejte si Primer: Ustvarjanje in šifriranje ključev s programom OpenSSL v zavihku Viri v tem članku.

Pooblastilo

V Control Hubu morate imeti dostop do organizacije Webex. Za upravljanje CMK morate biti polnopravni skrbnik .

Ustvarite in aktivirajte glavni ključ stranke
1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

Če želite omogočiti BYOK, preklopite Bring Your Own Key (BYOK) na. Če onemogočite BYOK, postane skupni privzeti ključ Webex glavni ključ za vašo organizacijo.

3

Izberite Upload a custom key in kliknite Next.

4

Kliknite Prenesite javni ključ.

Javni ključ Webex HSM shranite v datoteko .pem v lokalnem sistemu.

5

Ustvarite kriptografsko varen 256-bitni (32 bajtov) naključni ključ z uporabo programske opreme za upravljanje ključev.

6

Za šifriranje novega ključa uporabite javni ključ Webex HSM.

Zahtevani parametri šifriranja so:

  • Shema RSA-OAEP
  • hash funkcija SHA-256
  • Funkcija ustvarjanja maske MGF1
  • Polnilo PKCS#1 OAEP
Oglejte si Primer: Ustvarjanje in šifriranje ključev s programom OpenSSL v zavihku Viri v tem članku.
7

Šifrirani ključ povlecite iz datotečnega sistema in ga spustite v območje za nalaganje v vmesniku Control Hub ali kliknite Choose a file.

8

Kliknite Next.

Storitev Webex vaš ključ prenese v napravo HSM, kjer se dešifrira in potrdi. Nato vam vozlišče Control Hub prikaže ID novega CMK in ID trenutno aktivnega CMK, če obstaja.

Če je to vaš prvi ključ CMK, je trenutno aktivni ključ skupni privzeti ključ Webex (tisti, ki ga trenutno uporabljamo za šifriranje ključev vaše organizacije).

9

Izberite, kako želite aktivirati svoj ključ:

  • Aktivacija novega ključa: Novi CMK takoj preide v stanje Active. Prej aktivni CMK preide v stanje rotacije (ponovno šifriranje), dokler vsa vsebina ni zaščitena z novim CMK, nato pa Webex izbriše prej aktivni CMK.
  • Aktivirajte pozneje: Novi CMK se premakne v stanje Čakanje. Družba Webex hrani ta CMK v sistemu HSM, vendar ga še ne uporablja. Webex za šifriranje ključev vaše organizacije še naprej uporablja trenutno aktivni CMK.

Kaj storiti naprej

Vseh obstoječih vsebin ne šifriramo za nazaj. Ko aktivirate CMK, bo vsa nova vsebina (Prostori in sestanki) ponovno šifrirana in zaščitena.
Obračanje ključa
1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

3

Pojdite na aktivni CMK.

4

Kliknite Meni Več in izberite Zavrtite.

5

Ustvarite in šifrirajte nov ključ (če tega še niste storili).

Postopek je opisan v poglavju Ustvarite in aktivirajte glavni ključ stranke v tem članku.
6

Novi ključ povlecite iz datotečnega sistema in ga spustite v vozlišče Control Hub.

7

Kliknite Aktiviraj nov ključ.

Novi ključ, ki ste ga naložili, preide v stanje Aktivno.

Stari CMK ostane v stanju rotacije (ponovno šifriranje), dokler Webex ne konča šifriranja celotne vsebine z novim aktivnim CMK. Po ponovnem šifriranju se ključ premakne v stanje Retired. Webex nato izbriše stari CMK.

Preklic ključa
1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

3

Pojdite na aktivno tipko.

4

Kliknite Meni Več in izberite Odpoklic.

5

Potrdite preklic ključa.

Celoten preklic ključa lahko traja do 10 minut.
Ponovna aktivacija preklicanega ključa
1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

3

Pojdite na trenutno preklicani ključ.

4

Kliknite Meni Več in izberite Aktivirajte.

5

Potrdite aktivacijo ključa.

Prej preklicani ključ preide v stanje Active.
Brisanje preklicanega ključa
1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

3

Pojdite na preklicani ključ.

4

Kliknite Meni Več in izberite Izbrišite.

5

Potrdite brisanje ključa.

Ko je ključ izbrisan, ga lahko obnovite v 30 dneh.
Obnovitev preklicanega ključa
1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

3

Pojdite na izbrisano tipko.

4

Kliknite Meni Več in izberite Odstrani.

5

Potrdite obnovitev ključa.

Po obnovitvi vam vozlišče Control Hub prikaže ključ v stanju Odpoklican, preden je bil izbrisan. Če na primer izbrišete preklicani ključ in ga nato obnovite, Control Hub prikaže obnovljeni ključ v stanju Preklican.

Zahteve

Lastništvo

S prevzemom lastništva ključa KMS AWS morate:

  • Prevzemite odgovornost za varno ustvarjanje in varnostno kopiranje ključev AWS KMS.
  • Spoznajte posledice izgube ključev KMS AWS.
  • V skladu z najboljšo prakso vsaj enkrat na leto ponovno šifrirajte aktivni ključ KMS sistema AMS.

Pooblastilo

  • Za ustvarjanje in upravljanje ključev v sistemu AWS KMS za organizacijo Webex morate biti pooblaščeni.
  • V Control Hubu morate imeti dostop do organizacije Webex. Za upravljanje ključa AWS KMS morate biti polnopravni skrbnik .
Ustvarjanje ključa KMS AWS
1

Prijavite se v AWS in pojdite v konzolo AWS KMS.

2

Izberite Ključi, ki jih upravlja stranka , in nato kliknite Ustvari ključ.

3

Ustvarite ključ z naslednjimi atributi:

  • Vrsta ključa - izberite Simetrični.
  • Uporaba ključa - Izberite Šifriranje in dešifriranje.
  • Etikete - vnesite vzdevek, opis in oznake.
  • Ključni administratorji - izberite ključne uporabnike in vloge administratorjev vaše organizacije.
  • Brisanje ključa - potrdite Upraviteljem ključev dovolite brisanje tega ključa.
  • Ključni uporabniki - izberite ključne uporabnike in vloge svoje organizacije.
4

Kliknite Next.

5

Preglejte nastavitve in kliknite Finish.

Ustvarjen je vaš ključ KMS AWS.
6

Pojdite na Ključi, ki jih upravlja stranka in kliknite Alias ali ID ključa, da si ogledate ARN.

Kaj storiti naprej

Priporočamo, da si shranite začasno kopijo številke ARN. Ta ARN se uporablja za dodajanje in aktiviranje ključa AWS KMS v vozlišču Control Hub.

Pooblastite Cisco KMS z dostopom do ključa AWS KMS
1

Prijavite se v AWS in pojdite v konzolo AWS CloudShell.

2

Zaženite create-grant za avtorizacijo storitve Webex na naslednji način:

aws kms create-grant \ --name {UNIQUE_NAME_FOR_GRANT} \ --key-id {UUID_Of_AWS_KMS Key} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Na primer: 
aws kms create-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxxxx-xxxxxxxxxxxx \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxx:user/kms- cisco-user
KMS CISCO USER ARN je specifičen za vašo organizacijo.___ ARN je prikazan v oknu Dodaj ključ AWS, ko aktivirate nov ključ AWK KMS v nadzornem vozlišču.
Dodajanje in aktiviranje ključa KMS AWS

Preden začnete

Ključ AWS KMS morate ustvariti, preden ga aktivirate v vozlišču Control Hub. Oglejte si Ustvarite ključ AWS KMS v tem članku.

Družbi Webex morate zagotoviti dostop do ključa KMS AWS. Oglejte si Authorize Cisco KMS with access to the AWS KMS key v tem članku.

1

Prijavite se v Control Hub.

2

Pojdite na Organization Settings > Key Management in preklopite Bring Your Own Key (BYOK) na.

Če onemogočite BYOK, postane skupni privzeti ključ Webex glavni ključ za vašo organizacijo.

3

Izberite Dodaj ključ KMS AWS in kliknite Naprej.

4

ARN pridobite iz konzole AWS.

5

ARN vnesite v Control Hub in kliknite Add.

ARN ključa se prenese v Ciscov sistem KMS, kjer se potrdi dostop do ključa. Control Hub vam nato prikaže ID ključa Cisco KMS vašega novega ključa AWS KMS in trenutno aktivnega ID ključa Cisco KMS, če obstaja.

Če je to vaš prvi ključ AWS KMS, je trenutno aktivni ključ skupni privzeti ključ Webex (ki ga trenutno uporabljamo za šifriranje ključev vaše organizacije).

6

Izberite, kako želite aktivirati svoj ključ:

  • Aktivacija: Novi ključ KMS AWS takoj preide v stanje Active.
  • Aktivirajte pozneje: Novi ključ KMS AWS preide v stanje Čakajoče. Webex hrani ta ključ AWS KMS ARN v sistemu Cisco KMS, vendar ga še ne uporablja. Webex za šifriranje ključev vaše organizacije še naprej uporablja trenutno aktivni ključ AWS KMS.
Obračanje ključa AWS KMS
1

Prijavite se v Control Hub in pojdite na Organization Settings > Key Management.

2

Pojdite na aktivni ključ AWS KMS.

3

Kliknite Meni Več in izberite Zavrtite.

4

Vnesite svoj novi ključ KMS AWS in nov ARN ter kliknite Dodaj.

Postopek je opisan v poglavju Dodajte in aktivirajte ključ AMS KMS v tem članku.
5

Kliknite Aktiviraj.

Novi ključ KMS AWS, ki ste ga naložili, preide v stanje Active.

Stari ključ KMS AWS ostane v stanju Vrtenje, dokler Webex ne konča šifriranja vse svoje vsebine z novim aktivnim ključem KMS AWS. Po ponovnem šifriranju stari ključ AWS KMS samodejno izgine iz nadzornega središča.

Obrnite in dodajte še en ključ AWS KMS (neobvezno)
1

Prijavite se v Control Hub in pojdite na Organization Settings > Key Management.

2

Kliknite Dodajte še en ključ.

3

Vnesite svoj novi ključ KMS AWS in kliknite Dodaj.

Nadzorno središče prikaže ID ključa Cisco KMS vašega novega ključa AWS KMS in ID trenutno aktivnega ključa Cisco KMS.

Postopek je opisan v poglavju Dodajte in aktivirajte ključ AMS KMS v tem članku.

4

Kliknite Aktiviraj.

Novi ključ KMS AWS, ki ste ga naložili, preide v stanje Active.

Stari ključ KMS AWS ostane v stanju Vrtenje, dokler Webex ne konča šifriranja vse svoje vsebine z novim aktivnim ključem KMS AWS. Po ponovnem šifriranju stari ključ AWS KMS samodejno izgine iz nadzornega središča.

Preklic ključa AWS KMS
1

Prijavite se v Control Hub in pojdite na Organization Settings > Key Management.

2

Pojdite na trenutno aktivni ključ AWS KMS.

3

Kliknite Meni Več in izberite Lokalno prekličite.

4

Potrdite preklic ključa.

Celoten preklic ključa lahko traja do 10 minut. Ključ KMS AWS preide v stanje Lokalno preklicano.

Če skrbnik stranke prekliče ključ iz konzole AWS KMS, je ključ AWS KMS v Control Hubu prikazan v stanju Revoked by Amazon.

Brisanje ključa KMS AWS
1

Prijavite se v Control Hub in pojdite na Organization Settings > Key Management.

2

Pojdite na preklicani ključ AWS KMS.

3

Kliknite Meni Več in izberite Izbrišite.

4

Potrdite brisanje ključa.

Po izbrisu lahko ključ obnovite v 30 dneh.

Priporočamo, da najprej izbrišete ključ AWS KMS iz Control Hub-a, šele nato izbrišete svoj CMK iz konzole AWS. Če izbrišete ključ CMK iz konzole AWS, preden izbrišete ključ AWS KMS v vozlišču Control Hub, lahko pride do težav.

Preden izbrišete ključ KMS AWS iz konzole AWS, se prepričajte, da ključ KMS AWS ni več viden v kontrolnem vozlišču.

Obnovitev ključa AWS KMS
1

Prijavite se v Control Hub in pojdite na Organization Settings > Key Management.

2

Pojdite na izbrisani ključ AWS KMS.

3

Kliknite Meni Več in izberite Odstrani.

4

Potrdite obnovitev ključa.

Po obnovitvi vam vozlišče Control Hub prikaže ključ v stanju Odpoklicano.

Odpravljanje težav s ključem AWS KMS

Če naletite na težave s ključem KMS AWS, jih odpravite z naslednjimi informacijami.

  • Ključ AWS KMS ARN. Na primer arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Dotacije za ključ AWS KMS.

  • Stanje ključa AWS KMS. Ključ KMS AWS je na primer onemogočen.

Primer: Ustvarjanje in šifriranje ključev z OpenSSL

Ta primer uporablja različico 3.0 orodij ukazne vrstice OpenSSL. Za več informacij o teh orodjih glejte OpenSSL .

1

Prijavite se v Control Hub.

2

Pojdite na Nastavitve organizacije > Upravljanje ključev.

3

Kliknite Prenesite javni ključ.

Javni ključ Webex HSM dobite v datoteki .pem v lokalnem sistemu.

4

Ustvarite 256-bitni (32 bajtov) ključ: openssl rand -out main_key.bin 32.

V primeru je za nešifrirani novi ključ uporabljeno ime datoteke main_key.bin .

32-bajtno naključno vrednost lahko ustvarite tudi s programom Hex dump, programom Python ali spletnimi generatorji. Prav tako lahko ustvarite in upravljate svoj ključ KMS AWS.

5

Za šifriranje novega ključa uporabite javni ključ Webex HSM:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Primer uporablja ime datoteke main_key_encrypted.bin za šifrirani izhodni ključ in ime datoteke path/to/public.pem za javni ključ Webex.

Šifrirani ključ je pripravljen za prenos v vozlišče Control Hub.

Sorodno branje