Upravljajte glavnim ključem svog kupca

Informacije o glavnim ključevima kupca

Kao deo naše posvećenosti end-to-end bezbednosti, naš Webex sadrži glavni ključ u ime svake organizacije. Mi ga zovemo glavni ključ jer ne šifruje direktno sadržaj, ali se koristi za šifrovanje ostalih ključeva vaše organizacije koji šifruju sadržaj. Osnovni nivo hijerarhije ključa naziva se ključ sadržaja (CK), a srednji nivoi ključeva se nazivaju ključevi za šifrovanje ključa (KEK).

Prepoznali smo da neke organizacije radije upravljaju svojom bezbednošću, pa vam dajemo opciju za upravljanje glavnim ključem vašeg kupca (CMK). To znači da preuzimate odgovornost za kreiranje i rotiranje (ponovnu sinhronizaciju) glavnog ključa koji Webex koristi za šifrovanje ključeva za šifrovanje sadržaja.

U budućnosti, ključ se odnosi na CMK, osim ako nije drugačije navedeno.

Kako to funkcioniše

Webex CMK čuva vaš CMK u modulu za bezbednost hardvera (HSM) tako da Webex usluge nemaju pristup CMK vrednosti.
Control Hub prikazuje vaš trenutno aktivan ili opozvan CMK i sve CMK-ove na čekanju koji su uskladišteni u HSM-u. Kada je potrebno da rotirate (ponovo sinhronizujte) CMK, generišete novi CMK i šifrujte ga javnim ključem HSM-a, tako da samo HSM može da ga dešifrovanje i čuva.
Zatim otpremite i aktivirate novi CMK na platformi Control Hub. Webex odmah počne da koristi novi CMK za šifrovanje ključeva sadržaja. Webex zadrži stari CMK, ali samo dok ne bude sigurni da novi CMK osigura ključeve za šifrovanje sadržaja.

Ne deaktivirajmo ponovo sve postojeće sadržaje. Kada aktivirate CMK, sav novi sadržaj (Spaces i Meetings) će ponovo biti dešifrovan i zaštićen.

Informacije o AWS KMS tasterima

Prepoznali smo da neke organizacije radije upravljaju sopstvenim ključem van aplikacije Webex. Zato vam pružamo mogućnost da upravljate sopstvenim CMK-om u usluzi Amazon Web Services (AWS) upravljanja ključevima (KMS). To podrazumeva da ste odgovorni za upravljanje ključevima u AWS KMS-u. Ovlašćujete Webex za šifrovanje i dešifrovanje pomoću AWS KMS ključa preko AWS konzole. Webex pružate ključem za AWS KMS ID umesto CMK-a. To znači da preuzimate odgovornost za kreiranje i rotiranje (ponovnu sinhronizaciju) AWS KMS ključ koji Webex koristi za šifrovanje ključeva za šifrovanje sadržaja u oblaku.

Kako to funkcioniše

Ključ kreirate pomoću AWS- a. AWS KMS se koristi za upravljanje ključem i skladišti ključ u bezbednosnom modulu za hardver (HSM).
Webex pružate pristup da biste koristili AWS KMS ključ preko AWS konzole.

To znači da umesto otpremanja CMK-a u Control Hub pružate aplikaciji Webex pristup AWS KMS ključu. AWS KMS ključ ne ostavlja vaše AWS KMS i Webex usluge nemaju pristup ključnom materijalu za AWS KMS.

Control Hub prikazuje trenutno aktivan ili opozvan AWS KMS ključ i bilo koji AWS KMS ključ na čekanju koji se čuva u AWS KMS. Kada je potrebno da rotirate AWS KMS ključ, generišete novi AWS KMS ključ pomoću AWS KMS konzole.
Zatim dodajte i aktivirajte novi AWS KMS ključ na platformi Control Hub, obezbeđujući mu ime resursa Amazon (ARN) novog AWS KMS ključa. Webex odmah počinje da koristi novi AWS KMS ključ za šifrovanje ključeva za sadržaj. Webex više ne zahteva stari AWS KMS ključ. Stari AWS KMS ključ će nestati iz platforme Control Hub kada se vaši ključevi za šifrovanje sadržaja rotiraju i zaštite novim AWS KMS ključem. Webex ne briše AWS KMS ključ iz AWS KMS-a. Administrator kupca može da ukloni ključ iz AWS KMS-a.

Ključne stanja i životnog bicikla

Ključni životni bicikl

Definicije statusa ključa

Na čekanju

Ključ u ovom stanju se čuva u HSM-u, ali se još uvek ne koristi za šifrovanje. Webex ovaj CMK ne koristi za šifrovanje.

U ovom stanju može da bude samo jedan ključ.

Aktivno

Webex trenutno koristi ovaj CMK da šifruje druge ključeve za vašu organizaciju.

U ovom stanju može da bude samo jedan ključ.

Rotacije

Webex privremeno koristi ovaj CMK. Webex ovom ključu je potreban za dešifrovanje podataka i ključeva koji su prethodno šifrovani. Ovaj ključ se poništi kada se rotacija (ponovna dešifrovanje) završi.

Više tastera može biti u ovom stanju ako se novi ključ aktivira pre završetka rotacije.

Penzionisani

Webex koristi ovaj CMK. Ovaj ključ se više ne koristi za šifrovanje. Postavljen je ključ time-to-live, nakon kojeg se ovaj ključ uklanja iz HSM-a.

Opozvan

Webex koristi ovaj CMK. Čak i ako postoje podaci i ključevi koji su šifrovani ovim ključem, Webex možete da ih koristite za dešifrovanje podataka i ključeva.

Samo opozovete aktivni ključ ako sumnjate da je ugrožen. Ovo je ozbiljna odluka jer sprečava pravilno funkcionisanje mnogih operacija. Na primer, nećete moći da kreirate nove prostore i nećete moći da dešifrujete bilo koji sadržaj u Webex klijentu.
U ovom stanju može da bude samo jedan ključ. Morate ponovo da aktivirate ovaj ključ da biste rotirati (ponovo dešifrovanje) novog ključa.
Ovaj CMK se može izbrisati, ali ne morate da ga izbrišete. Možda ćete želeti da ga zadržite za dešifrovanje/ponovnu dešifrovanje nakon što rešite osumnjičeno kršenje bezbednosti.

Izbrisano

Webex koristi ovaj CMK. Ponašanje u ovom stanju je isto kao status opozvan, osim ako je postavljen ključni put za život, nakon kojeg se ovaj ključ uklanja iz HSM-a.

Ako izbrisani CMK napreduju u uklonjenom stanju, morate da povratite prvobitni ključ da biste vratili funkcionalnost organizaciji.

Preporučujemo da zadržite rezervnu kopiju svog originalnog ključa jer u suprotnom vaša organizacija više neće biti funkcionalna.

Uklonjeno

Ovo je logičko stanje. Webex ovaj CMK nije sačuvan u HSM-u. Nije prikazana na platformi Control Hub.

Zahtevi

Vlasništvo

Ako preuzimate vlasništvo nad CMK-om, morate:

Preuzmite odgovornost za bezbedno kreiranje i podršku za ključeve
Shvatite posledice gubitka ključeva
Ponovo dešifrujte aktivni CMK barem jednom godišnje kao najbolju praksu

Kreiranje ključa

Morate kreirati svoj CMK koristeći ove parametre. Vaš ključ mora da bude:

256 bita (32 bajta) dugačko
Šifrovano pomoću šeme RSA-OAEP
Šifrovano javnim ključem Webex oblaka HSM

Softver za generaciju ključa mora biti sposoban za:

Funkcija SHA-256 hash
Funkcija proizvodnje MGF1 maske
PKCS#1 OAEP dodavanje

Pogledajte primer : Kreirajte i šifrujte ključeve pomoću usluge OpenSSL na kartici Resursi u ovom članku.

Ovlašćenje

Morate imati pristup svojoj organizaciji Webex na platformi Control Hub. Morate biti potpuni administrator da biste upravljali CMK-om.

Kreirajte i aktivirajte glavni ključ kupca

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem". Da biste omogućili BYOK, uključite preklopnik Za uključivanje sopstvenog ključa (BYOK). Ako onemogućite BYOK, Webex uobičajeni podrazumevani ključ postaje glavni ključ za vašu organizaciju.
3	Izaberite Otpremite prilagođeni ključ i kliknite na "Dalje ".
4	Kliknite na "Preuzmi javni ključ". Sačuvajte Webex HSM javni ključ u .pem datoteci na lokalnom sistemu.
5	Kreirajte kriptografski bezbedni 256-bitni (32 bajt) nasumični ključ pomoću softvera za upravljanje ključem.
6	Koristite Webex HSM javni ključ za šifrovanje novog ključa. Potrebni parametri šifrovanja su: RSA-OAEP šema Funkcija SHA-256 hash Funkcija proizvodnje MGF1 maske PKCS#1 OAEP dodavanje Pogledajte primer : Kreirajte i šifrujte ključeve pomoću usluge OpenSSL na kartici Resursi u ovom članku.
7	Prevucite šifrovani ključ iz sistema datoteka i otpustite ga u oblasti otpremanja interfejsa platforme Control Hub ili kliknite na Odaberite datoteku.
8	Kliknite na Dalje. Webex otprema vaš ključ na HSM, gde je dešifrovan i proveren. Zatim vam Control Hub prikazuje ID vašeg novog CMK-a i ID trenutno aktivnog CMK-a, ako postoji. Ako je ovo vaš prvi CMK, trenutno aktivan ključ je uobičajeni Webex podrazumevani ključ (ovaj koji trenutno koristimo za šifrovanje ključeva vaše organizacije).
9	Odaberite na koji način želite da aktivirate svoj ključ: Aktiviraj novi ključ: Novi CMK odmah ide u aktivno stanje. Prethodno aktivni CMK ide u rotaciju (stanje ponovne sinhronizacije), dok sav vaš sadržaj ne zaštiti novi CMK, nakon kojeg Webex briše prethodno aktivni CMK. Aktiviraj kasnije: Novi CMK se premešta u stanje na čekanju. Webex čuva ovaj CMK u HSM-u, ali ga još uvek ne koristi. Webex nastavlja da koristi trenutno aktivan CMK za šifrovanje ključeva vaše organizacije.

Šta je sledeće

Ne deaktivirajmo ponovo sve postojeće sadržaje. Kada aktivirate CMK, sav novi sadržaj (Spaces i Meetings) će biti ponovo dešifrovan i zaštićen.

Rotirajte svoj ključ

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem".
3	Idite na aktivni CMK.
4	Kliknite i izaberite "Rotiraj".
5	Kreirajte i šifrujte novi ključ (ako to još uvek niste uradili). Proces je opisan u opciji Kreirajte i aktivirajte glavni ključ svog kupca u ovom članku.
6	Prevucite novi ključ iz sistema datoteka i otpustite ga na portalu Control Hub.
7	Kliknite na aktiviraj novi ključ. Novi ključ koji ste otpremili ide u status Aktivno. Stari CMK ostaje u rotaciji (stanje ponovne sinhronizacije) dok Webex ne završi šifrovanje svih njegovih sadržaja novim aktivnim CMK-om. Nakon ponovne sinhronizacije, ključ se premešta u stanje u penziji. Webex zatim briše stari CMK.

Opozovite svoj ključ

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem".
3	Idite na aktivni ključ.
4	Kliknite i izaberite " Opozovi".
5	Potvrdite opoziv ključa. Do 10 minuta može da se u potpunosti opozove ključ.

Ponovo aktivirajte ključ za opoziv

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem".
3	Idite na trenutno opozvan ključ.
4	Kliknite i izaberite "Aktiviraj ".
5	Potvrdite aktiviranje ključa. Prethodno opozvan ključ ide u status aktivnog.

Izbrišite opozvani ključ

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem".
3	Idite na ključ za opozvane pozive.
4	Kliknite i izaberite Izbriši.
5	Potvrdite brisanje ključa. Jednom kada ih izbrišete, imate opciju da vratite ključ u roku od 30 dana.

Vraćanje opozvanog ključa

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem".
3	Idite na izbrisani ključ.
4	Kliknite i izaberite " Poništi brisanje".
5	Potvrdite vraćanje ključa. Kada vratite stanje, Control Hub vam pokazuje ključ u statusu "Opozvano" pre brisanja. Na primer, ako izbrišete opozvani ključ, a zatim vratite ključ, Control Hub prikazuje vraćeni ključ u statusu "Opozvano".

Zahtevi

Vlasništvo

Преузимање везе са AWS KMS ključem, morate:

Preuzmite odgovornost za bezbedno kreiranje i podršku za AWS KMS ključeve.
Shvatite implikacije gubitka AWS KMS ključeva.
Ponovo dešifrujte aktivni AMS KMS ključ bar jednom godišnje kao najbolju praksu.

Ovlašćenje

Morate biti ovlašćeni za kreiranje ključeva u AWS KMS-u za svoju Webex organizaciju i upravljanje ključevima.
Morate imati pristup svojoj organizaciji Webex na platformi Control Hub. Morate biti administrator sa punim pravima da biste upravljali AWS KMS ključem.

Kreiranje AWS KMS ključa

1	Prijavite se u AWS i idite na AWS KMS konzolu.
2	Izaberite ključeve kojima upravlja kupac , a zatim kliknite na " Kreiraj ključ".
3	Kreirajte ključ sa sledećim atributima: Tip ključa – izaberite simetrijsku vrednost. Upotreba ključa – izaberite " Šifrovano" i "Dešifrovanje". Oznake – unesite pseudonim, opis i oznake. Administratori tastera – Izaberite korisnike i uloge administratora ključa organizacije. Brisanje ključa – označite "Dozvoli administratorima ključa da izbrišu ovaj ključ". Ključni korisnici – Izaberite ključne korisnike i uloge ključnih korisnika organizacije.
4	Kliknite na Dalje.
5	Pregledajte podešavanja i kliknite na "Završi ". Kreiraće se vaš AWS KMS ključ.
6	Idite na ključeve kojima upravlja kupac i kliknite na pseudonim ili taster ID biste prikazali ARN.

Šta je sledeće

Preporučujemo da zadržite privremenu kopiju ARN-a. Ovaj ARN se koristi za dodavanje i aktiviranje AWS KMS ključa na platformi Control Hub.

Ovlasti Cisco KMS za pristup AWS KMS ključu

Prijavite se u AWS i idite na AWS CloudShell konzolu.

Pokreni create-grant da biste ovlastili Webex na sledeći na sledeći:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Na primer:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

/ KMS_CISCO_USER_ARN je specifična za vašu organizaciju. ARN se prikazuje u prozoru "Dodajte AWS taster" kada aktivirate novi AWK KMS ključ u Kontrolnom čvorištu.

Dodavanje i aktiviranje AWS KMS ključa

Pre nego što počnete

Morate da kreirate AWS KMS ključ pre nego što ga aktivirate u Kontrolnom čvorištu. Pogledajte kreiranje AWS KMS ključa u ovom članku.

Morate da obezbedite aplikaciji Webex pristup AWS KMS ključu. Pogledajte ovlasti Cisco KMS sa pristupom AWS KMS ključu u ovom članku.

1	Prijavite se na Control Hub.
2	Pristupite opciji "Podešavanja > organizacije" i uključite taster Bring Your Own Key (BYOK). Ako onemogućite BYOK, Webex uobičajeni podrazumevani ključ postaje glavni ključ za vašu organizaciju.
3	Izaberite "Dodaj AWS KMS ključ" i kliknite na " Dalje".
4	Uzmite ARN sa AWS konzole.
5	Unesite ARN na portalu Control Hub i kliknite na "Dodaj ". ARN vašeg ključa otprema se na Cisco KMS, gde se potvrđiva pristup ključu. Zatim vam Control Hub prikazuje Cisco KMS ključ ID novog AWS KMS ključa i trenutno aktivni Cisco KMS ključ ID, ako postoji. Ako je ovo vaš prvi AWS KMS ključ, trenutno aktivni ključ je uobičajeni Webex podrazumevani ključ (ovaj koji trenutno koristimo za šifrovanje ključeva vaše organizacije).
6	Odaberite na koji način želite da aktivirate svoj ključ: Aktiviraj: Novi AWS KMS ključ odmah odlazi u aktivno stanje. Aktiviraj kasnije: Novi AWS KMS ključ se premešta u stanje na čekanju. Webex čuva ovaj AWS KMS ključ ARN u Cisco KMS-u, ali ga još uvek ne koristi. Webex nastavlja da koristi trenutno aktivni AWS KMS ključ za šifrovanje ključeva vaše organizacije.

Rotirajte AWS KMS ključ

1	Prijavite se u Control Hub i idite na opciju "Podešavanja > ključem".
2	Idite na aktivni AWS KMS ključ.
3	Kliknite i izaberite "Rotiraj".
4	Unesite svoj novi AWS KMS ključ i novi ARN i kliknite na "Dodaj ". Proces je opisan u vremenu dodavanja i aktiviranja AMS KMS ključa u ovom članku.
5	Kliknite na dugme Aktiviraj. Novi AWS KMS ključ koji ste otpremili ide u aktivno stanje. Stari AWS KMS ključ ostaje u stanju rotacije dok Webex ne završi šifrovanje svih njegovih sadržaja novim aktivnim AWS KMS ključem. Nakon ponovne sinhronizacije, stari AWS KMS ključ automatski nestaje sa portala Control Hub.

Rotirajte da biste dodali još jedan AWS KMS ključ (opcionalno)

1	Prijavite se u Control Hub i idite na opciju "Podešavanja > ključem".
2	Kliknite na " Dodaj još jedan ključ".
3	Unesite svoj novi AWS KMS ključ i kliknite na "Dodaj ". Control Hub vam pokazuje Cisco KMS ključ ID novog AWS KMS ključa i ID trenutno aktivnog Cisco KMS ključa ID. Proces je opisan u vremenu dodavanja i aktiviranja AMS KMS ključa u ovom članku.
4	Kliknite na dugme Aktiviraj. Novi AWS KMS ključ koji ste otpremili ide u aktivno stanje. Stari AWS KMS ključ ostaje u stanju rotacije dok Webex ne završi šifrovanje svih njegovih sadržaja novim aktivnim AWS KMS ključem. Nakon ponovne sinhronizacije, stari AWS KMS ključ automatski nestaje sa portala Control Hub.

Opozovite AWS KMS ključ

1	Prijavite se u Control Hub i idite na opciju "Podešavanja > ključem".
2	Idite na trenutno aktivni AWS KMS ključ.
3	Kliknite i izaberite "Opozovi lokalno".
4	Potvrdite opoziv ključa. Do 10 minuta može da se u potpunosti opozove ključ. AWS KMS ključ ide u stanje koje je lokalno opozvano.

Ako administrator kupca opozove ključ sa AWS KMS konzole, onda je AWS KMS ključ prikazan u stanju "Opozvano od strane Amazona" na platformi Control Hub.

Brisanje AWS KMS ključa

1	Prijavite se u Control Hub i idite na opciju "Podešavanja > ključem".
2	Idite na opozvani AWS KMS ključ.
3	Kliknite i izaberite Izbriši.
4	Potvrdite brisanje ključa. Kada ga izbrišete, ključ možete da oporavite u roku od 30 dana.

Preporučujemo da prvo izbrišete AWS KMS ključ sa portala Control Hub pre nego što izbrišete CMK sa AWS konzole. Ako izbrišete CMK sa AWS konzole pre nego što izbrišete ključ AWS KMS na platformi Control Hub, možete naići na probleme.

Uverite se da AWS KMS ključ više nije vidljiv na platformi Control Hub pre brisanja CMK-a sa AWS konzole.

Vratite AWS KMS ključ

1	Prijavite se u Control Hub i idite na opciju "Podešavanja > ključem".
2	Idite na izbrisani AWS KMS ključ.
3	Kliknite i izaberite " Poništi brisanje".
4	Potvrdite vraćanje ključa. Kada se vratite u prethodno stanje, Control Hub vam pokazuje ključ u statusu "Opozvano".

Rešavanje problema sa AWS KMS ključem

Ako naiđete na probleme sa AWS KMS ključem, koristite sledeće informacije da biste rešili problem.

AWS KMS ključ ARN. Na primer: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Daje na AWS KMS ključu.
Stanje ključa za AWS KMS. Na primer, onemogućen je AWS KMS ključ.

Primer: Kreirajte i šifrujte ključeve pomoću usluge OpenSSL

Ovaj primer koristi verziju 3.0 openSSL alatki komandne linije. Više o ovim alatkama potražite u aplikaciji OpenSSL .

1	Prijavite se na Control Hub.
2	Idite na stranicu "Podešavanja organizacije" > "Upravljanje ključem".
3	Kliknite na "Preuzmi javni ključ". Javni ključ Webex HSM u .pem datoteci na lokalnom sistemu.
4	Kreirajte 256-bitni (32 bajt) ključ: `openssl rand 32 -out main_key.bin` Primer koristi ime datoteke main_key.bin za vaš nešifrovan novi ključ.
5	Koristite Webex HSM javni ključ za šifrovanje novog ključa: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Primer koristi ime datoteke main_key_encrypted.bin za šifrovani izlazni ključ i putanju imena datoteke/do/public.pem za Webex javni ključ. Šifrovani ključ je spreman za otpremanje na Control Hub.