O glavnim ključevima kupca

U sklopu naše posvećenosti potpunoj bezbednosti, Webex ima glavni ključ u ime svake organizacije. Zovemo ga glavni ključ jer se ne šifruje direktno sadržaj, ali se koristi za šifrovanje drugih ključeva organizacije koji šifruju sadržaj. Osnovni nivo ključa hijerarhije se naziva ključ sadržaja (CK), a posredni nivoi ključa su ključevi za šifrovanje (KEK).

Prepoznajemo da neke organizacije više vole da upravljaju svojom bezbednošću, pa vam pružamo mogućnost da upravljate sopstvenim glavnim ključem kupca (CMK). To znači da preuzimate odgovornost za kreiranje i rotiranje (ponovo šifrovanje) glavnog ključa koji Webex koristi za šifrovanje sadržaja za šifrovanje.

U budućnosti, ključ se odnosi na CMK osim ako nije drugačije navedeno.

Kako to funkcioniše

  1. Webex čuva vaš CMK u hardverskom bezbednosnom modulu (HSM) tako da Webex usluge nemaju pristup CMK vrednosti.

  2. Control Hub prikazuje vaš trenutno aktivan ili opozvan CMK i sve CMK na čekanju koji su uskladišteni u HSM-u. Kada je potrebno da rotirate (ponovo šifrujete) CMK, generišete novi CMK i šifrujete ga javnim ključem HSM-a, tako da samo HSM može da ga dešifruje i čuva.

  3. Zatim otpremate i aktivirate novi CMK na platformi Control Hub. Webex odmah počinje da koristi novu CMK za šifrovanje ključeva sadržaja. Webex čuva staru CMK, ali samo dok ne bude siguran da novi CMK obezbeđuju vaše ključeve za šifrovanje sadržaja.

Ne dešifrujemo sav postojeći sadržaj retroaktivno. Kada aktivirate CMK, sav novi sadržaj (Prostori i sastanci) se ponovo šifruje i štiti.
O AWS KMS ključevima

Prepoznajemo da neke organizacije više vole da upravljaju sopstvenim ključem izvan aplikacije Webex. Zato vam pružamo mogućnost upravljanja sopstvenim CMK-om u Amazon Web Services (AWS) usluzi upravljanja ključevima (KMS). To podrazumeva da ste odgovorni za upravljanje ključevima u AWS KMS-u. Ovlašćujete Webex da šifruje i dešifruje pomoću AWS KMS ključa putem AWS konzole. Webex dostavljate ID AWS KMS ključem umesto CMK. To znači da preuzimate odgovornost za kreiranje i rotiranje (ponovo šifrovanje) AWS KMS ključ koji Webex koristi za šifrovanje sadržaja u oblaku.

Kako to funkcioniše

  1. Ključ se kreira pomoću AWS-a. AWS KMS se koristi za upravljanje ključem i čuva ključ u hardverskom bezbednosnom modulu (HSM).

  2. Pružate usluzi Webex pristup korišćenju AWS KMS ključa preko AWS konzole.

    To znači da umesto otpremanja CMK na Control Hub, vi omogućavate usluzi Webex pristup AWS KMS ključu. AWS KMS ključ ne napušta AWS KMS i Webex usluge nemaju pristup materijalu AWS KMS ključa.

    Control Hub prikazuje vaš trenutno aktivan ili opozvan AWS KMS ključ i bilo koji AWS KMS ključ na čekanju koji je uskladišten u AWS KMS-u. Kada je potrebno da rotirate AWS KMS ključ, generišete novi AWS KMS ključ pomoću AWS KMS konzole.

  3. Zatim dodate i aktivirate novi AWS KMS ključ na platformi Control Hub, obezbeđujući mu Amazon Resource Name (ARN) novog AWS KMS ključa. Webex odmah počinje da koristi novi AWS KMS ključ za šifrovanje ključeva sadržaja. Webex više ne zahteva stari AWS KMS ključ. Stari AWS KMS ključ će nestati sa portala Control Hub kada se ključevi za šifrovanje sadržaja rotiraju i obezbeđuju novi AWS KMS ključ. Webex ne briše AWS KMS ključ iz AWS KMS-a. Administrator kupca može da ukloni ključ iz AWS KMS-a.

Ključna stanja i životni ciklus

Životni ciklus ključa

Ključne definicije država

Na čekanju

Ključ u ovom stanju je uskladišten u HSM-u, ali se još uvek ne koristi za šifrovanje. Webex ne koristi ovaj CMK za šifrovanje.

Samo jedan ključ može da bude u ovom stanju.
Aktivno

Webex trenutno koristi ovu CMK za šifrovanje drugih ključeva za vašu organizaciju.

Samo jedan ključ može da bude u ovom stanju.
Rotacija

Webex privremeno koristi ovaj CMK. Webex je potrebno da dešifruje vaše podatke i ključeve koji su prethodno bili šifrovani ovim ključem. Ovaj ključ se povlači kada se rotacija (ponovo šifrovanje) završi.

Više ključeva može da bude u ovom stanju ako se novi ključ aktivira pre nego što se rotacija završi.
Povučeno

Webex ne koristi ovaj CMK. Ovaj ključ se više ne koristi za šifrovanje. Podešava se ključ vremena za život, nakon čega se ovaj ključ uklanja iz HSM-a.

Opozvano

Webex ne koristi ovaj CMK. Čak i ako postoje podaci i ključevi koji su šifrovani ovim ključem, Webex ne može da ga koristi za dešifrovanje podataka i ključeva.

  • Aktivni ključ treba da opozovete samo ako sumnjate da je ugrožen. Ovo je ozbiljna odluka jer sprečava da se mnoge operacije pravilno ponašaju. Na primer, nećete moći da kreirate nove prostore niti nećete moći da dešifrujete bilo koji sadržaj u usluzi Webex Client.
  • Samo jedan ključ može da bude u ovom stanju. Morate ponovo da aktivirate ovaj ključ da biste rotirali (ponovo šifrovali) novi ključ.
  • Ovaj CMK može da se izbriše, ali ne morate da ga izbrišete. Možda ćete želeti da ga zadržite za dešifrovanje/ponovo šifrovanje kada otklonite sumnjivu kršenje bezbednosti.
Izbrisano

Webex ne koristi ovaj CMK. Ponašanje u ovom stanju je isto kao i opozvano stanje, osim što je podešen ključ za vreme uživo, nakon čega se ovaj ključ uklanja iz HSM-a.

  • Ako izbrisani CMK pređe u uklonjeno stanje, morate da vratite prvobitni ključ da biste vratili funkcionalnost u organizaciju.
  • Preporučujemo da ostavite rezervnu kopiju originalnog ključa jer u suprotnom vaša organizacija više neće raditi.
Uklonjeno

Ovo je logičko stanje. Webex nema sačuvan ovaj CMK u HSM-u. Nije prikazana na portalu Control Hub.

Zahtevi

Vlasništvo

Preuzimanjem vlasništva nad svojim CMK-om, morate da:

  • Preuzmite odgovornost za bezbedno kreiranje i vraćanje vaših ključeva
  • Razumete posledice gubitka ključeva
  • Ponovo šifrujte aktivni CMK najmanje jednom godišnje kao najbolju praksu

Kreiranje ključa

Morate da kreirate sopstveni CMK koristeći ove parametre. Vaš ključ mora da bude:

  • 256-bitni (32 bajta) dug
  • Šifrovano RSA-OAEP šemom
  • Šifrovano javnim ključem Webex oblaka HSM

Softver za generisanje ključa mora da bude u mogućnosti:

  • SHA-256 heš funkcija
  • Funkcija generisanja MGF1 maske
  • PKCS#1 OAEP padding

Pogledajte Primer: Kreirajte i šifrujte ključeve pomoću programa OpenSSL na kartici „Resursi“ u ovom članku.

Ovlašćenje

Morate da imate pristup svojoj Webex organizaciji na platformi Control Hub. Morate da budete potpuni administrator da biste upravljali CMK-om.

Kreirajte i aktivirajte glavni ključ kupca
1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

Da biste omogućili BYOK, uključite stavku Ponesi sopstveni ključ (BYOK) . Ako onemogućite BYOK, zajednički podrazumevani Webex ključ postaje glavni ključ za vašu organizaciju.

3

Izaberite Otpremi prilagođeni ključ i kliknite na Sledeće.

4

Kliknite na Preuzmi javni ključ.

Sačuvajte Webex HSM javni ključ u .pem datoteci na lokalnom sistemu.

5

Kreirajte kriptografski bezbedan 256-bitni (32-bajta) nasumični ključ koristeći softver za upravljanje ključevima.

6

Koristite javni ključ Webex HSM da biste šifrovali novi ključ.

Potrebni parametri šifrovanja su:

  • седињу
  • SHA-256 heš funkcija
  • Funkcija generisanja MGF1 maske
  • PKCS#1 OAEP padding
Pogledajte Primer: Kreirajte i šifrujte ključeve pomoću programa OpenSSL na kartici „Resursi“ u ovom članku.
7

Prevucite šifrovani ključ iz sistema datoteka i otpustite ga u oblast za otpremanje interfejsa platforme Control Hub ili kliknite na Izaberi datoteku.

8

Kliknite na dugme Dalje.

Webex otprema vaš ključ u HSM, gde se dešifruje i proverava. Zatim vam Control Hub prikazuje ID novog CMK-a i ID trenutno aktivnog CMK-a, ako postoji.

Ako je ovo vaš prvi CMK, trenutno aktivni ključ je uobičajeni Webex zajednički podrazumevani ključ (onaj koji trenutno koristimo za šifrovanje ključeva vaše organizacije).

9

Odaberite način na koji želite da aktivirate ključ:

  • Aktiviraj novi ključ: Nova CMK odmah ulazi u aktivno stanje. Prethodno aktivan CMK ulazi u rotaciju (stanje ponovnog šifrovanja), dok sav vaš sadržaj ne bude zaštićen novom CMK-om, nakon čega Webex briše prethodno aktivan CMK.
  • Aktiviraj kasnije: Novi CMK prelazi u stanje na čekanju. Webex zadržava ovaj CMK u HSM-u, ali ga još uvek ne koristi. Webex nastavlja da koristi trenutno aktivan CMK za šifrovanje ključeva vaše organizacije.

Šta je sledeće

Ne dešifrujemo sav postojeći sadržaj retroaktivno. Kada aktivirate CMK, sav novi sadržaj (Prostori i Meetings) biće ponovo šifrovan i zaštićen.
Rotiraj svoj ključ
1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

3

Idite na aktivni CMK.

4

Kliknite Meni „Još“ i izaberite Rotiraj.

5

Kreirajte i šifrujte novi ključ (ako to još uvek niste uradili).

Proces je opisan u odeljku Kreiraj i aktiviraj glavni ključ kupca u ovom članku.
6

Prevucite novi ključ iz sistema datoteka i otpustite ga u Control Hub.

7

Kliknite na Aktiviraj novi ključ.

Novi ključ koji ste otpremili ulazi u aktivno stanje.

Stara CMK ostaje u rotaciji (stanje ponovnog šifrovanja) sve dok Webex ne završi šifrovanje svog sadržaja novom aktivnom CMK. Nakon ponovnog šifrovanja, ključ se premešta u Penzionisano stanje. Webex zatim briše staru CMK.

Opozovite svoj ključ
1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

3

Idite na aktivni ključ.

4

Kliknite Meni „Još“ i izaberite Opozovi.

5

Potvrdite opozivanje ključa.

Može da bude potrebno najviše 10 minuta da se ključ u potpunosti opozove.
Ponovo aktivirajte opozvani ključ
1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

3

Idite na trenutno opozvani ključ.

4

Kliknite Meni „Još“ i izaberite Aktiviraj.

5

Potvrdite aktivaciju ključa.

Prethodno opozvani ključ ulazi u aktivno stanje.
Izbriši opozvani ključ
1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

3

Idite na opozvani ključ.

4

Kliknite Meni „Još“ i izaberite Izbriši.

5

Potvrdite brisanje ključa.

Kada se izbriše, imate mogućnost da vratite ključ u roku od 30 dana.
Vratite opozvani ključ
1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

3

Idite na izbrisani ključ.

4

Kliknite Meni „Još“ i izaberite Opozovi.

5

Potvrdite vraćanje ključa.

Kada je vraćen, Control Hub vam pokazuje ključ u stanju opozvanog pre nego što je izbrisan. Na primer, ako izbrišete opozvani ključ, a zatim vratite ključ u prethodno stanje, Control Hub prikazuje vraćeni ključ u stanju opozvanog poziva.

Zahtevi

Vlasništvo

Preuzimanjem vlasništva nad svojim AWS KMS ključem, morate da:

  • Preuzmite odgovornost za bezbedno kreiranje i napravite rezervnu kopiju AWS KMS ključeva.
  • Razumete posledice gubitka AWS KMS ključeva.
  • Ponovo šifrujte aktivni AMS KMS ključ najmanje jednom godišnje kao najbolju praksu.

Ovlašćenje

  • Morate biti ovlašćeni da kreirate ključeve u AWS KMS za svoju Webex organizaciju i upravljate njima.
  • Morate da imate pristup svojoj Webex organizaciji na platformi Control Hub. Morate da budete potpuni administrator da biste upravljali AWS KMS ključem.
Kreirajte AWS KMS ključ
1

Prijavite se u AWS i idite na AWS KMS konzolu.

2

Izaberite opciju Ključevi kojima upravlja kupac , a zatim kliknite na Kreiraj ključ.

3

Kreirajte ključ sa sledećim atributima:

  • Tip ključa – izaberite simetrično.
  • Upotreba ključa – izaberite stavku Šifrovanje i dešifrovanje.
  • Oznake — Unesite pseudonim, opis i oznake.
  • Administratori ključeva – Izaberite korisnike i uloge ključnih administratora organizacije.
  • Brisanje ključa – potvrdite opciju Dozvoli administratorima ključeva da izbrišu ovaj ključ.
  • Ključni korisnici – Izaberite ključne korisnike i uloge vaše organizacije.
4

Kliknite na dugme Dalje.

5

Pregledajte svoja podešavanja i kliknite na Završi.

Vaš AWS KMS ključ je kreiran.
6

Idite na tastere kojima upravlja kupac i kliknite na pseudonim ili ID ključa da biste videli ARN.

Šta je sledeće

Preporučujemo da zadržite privremenu kopiju ARN-a. Ovaj ARN se koristi za dodavanje i aktiviranje AWS KMS ključa na platformi Control Hub.

Ovlasti Cisco KMS sa pristupom AWS KMS ključu
1

Prijavite se na AWS i idite na AWS CloudShell konzolu.

2

Pokrenite kreiranje-grant da biste ovlastili Webex na sledeći način:

aws kms kreiraj-grant \ --name {UNIQUE_ime_дечији_Dozvoli} \ --ID ključa {UUID_вишеf_јусуф_KMS ključ} \ --operacije šifrovanja dešifrovanja DescribeKey \ --grantee-principal {KMS_cisco_korisnik_ARN} \ --principal za povlačenje {KMS_cisco_korisnik_смеђа}
Na primer: 
aws kms create-grant \ --name Cisco-KMS-xxxxxxx-encrypt-dešifrovanje \ --key-id xxxxxxx-xxxxxxxx-xxxxxxxx \ --operations Šifrovanje Dešifrovanje DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxxx:user/kms- cisco-user
KMS_CISCO_KORISNIČKI_ARN je specifičan za vašu organizaciju. ARN se prikazuje u prozoru „Dodaj AWS ključ“ prilikom aktiviranja novog AWK KMS ključa na platformi Control Hub.
Dodajte i aktivirajte AWS KMS ključ

Pre nego što počnete

Morate da kreirate AWS KMS ključ pre nego što ga aktivirate na platformi Control Hub. U ovom članku Kreiranje AWS KMS ključa .

Morate da obezbedite usluzi Webex pristup AWS KMS ključu. Pogledajte Ovlasti Cisco KMS sa pristupom AWS KMS ključu u ovom članku.

1

Prijavite se u kontrolno čvorište.

2

Idite na stavku Podešavanja organizacije > Upravljanje ključevima i uključite stavku Ponesi sopstveni ključ (BYOK) .

Ako onemogućite BYOK, zajednički podrazumevani Webex ključ postaje glavni ključ za vašu organizaciju.

3

Izaberite stavku Dodaj AWS KMS ključ i kliknite na Sledeće.

4

Nabavite ARN iz AWS konzole.

5

Unesite ARN u Control Hub i kliknite na dugme Dodaj.

ARN vašeg ključa se otprema u Cisco KMS, gde je pristup ključu potvrđen. Zatim vam Control Hub prikazuje Cisco KMS ključ novog AWS KMS ključa i trenutno aktivan ID Cisco KMS ključa, ako postoji.

Ako je ovo vaš prvi AWS KMS ključ, trenutno aktivni ključ je uobičajeni Webex podrazumevani ključ (onaj koji trenutno koristimo za šifrovanje ključeva vaše organizacije).

6

Odaberite način na koji želite da aktivirate ključ:

  • Aktivirajte: Novi AWS KMS ključ odmah ulazi u aktivno stanje.
  • Aktiviraj kasnije: Novi AWS KMS ključ premešta se u stanje na čekanju. Webex zadržava ovaj AWS KMS ARN ključa u Cisco KMS-u, ali ga još uvek ne koristi. Webex nastavlja da koristi trenutno aktivan AWS KMS ključ za šifrovanje ključeva vaše organizacije.
Rotirajte AWS KMS ključ
1

Prijavite se u Control Hub i idite do stavki Podešavanja organizacije > Upravljanje ključevima.

2

Idite na aktivni AWS KMS ključ.

3

Kliknite Meni „Još“ i izaberite Rotiraj.

4

Unesite novi AWS KMS ključ i novi ARN i kliknite na Dodaj.

Proces je opisan u odeljku Dodavanje i aktiviranje AMS KMS ključa u ovom članku.
5

Kliknite na Aktiviraj.

Novi AWS KMS ključ koji ste otpremili ulazi u aktivno stanje.

Stari AWS KMS ključ ostaje u rotirajućem stanju sve dok Webex ne završi šifrovanje svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifrovanja, stari AWS KMS ključ automatski nestaje iz platforme Control Hub.

Rotirajte da biste dodali još jedan AWS KMS ključ (opcionalno)
1

Prijavite se u Control Hub i idite do stavki Podešavanja organizacije > Upravljanje ključevima.

2

Kliknite na Dodaj još jedan ključ.

3

Unesite novi AWS KMS ključ i kliknite na Dodaj.

Control Hub vam pokazuje Cisco KMS ključ novog AWS KMS ključa i ID trenutno aktivnog Cisco KMS ključa.

Proces je opisan u odeljku Dodavanje i aktiviranje AMS KMS ključa u ovom članku.

4

Kliknite na Aktiviraj.

Novi AWS KMS ključ koji ste otpremili ulazi u aktivno stanje.

Stari AWS KMS ključ ostaje u rotirajućem stanju sve dok Webex ne završi šifrovanje svog sadržaja novim aktivnim AWS KMS ključem. Nakon ponovnog šifrovanja, stari AWS KMS ključ automatski nestaje iz platforme Control Hub.

Opozovite svoj AWS KMS ključ
1

Prijavite se u Control Hub i idite do stavki Podešavanja organizacije > Upravljanje ključevima.

2

Pristupite trenutno aktivnom AWS KMS ključu.

3

Kliknite Meni „Još“ i izaberite stavku Lokalno opozovi.

4

Potvrdite opozivanje ključa.

Može da bude potrebno najviše 10 minuta da se ključ u potpunosti opozove. AWS KMS ključ ide u lokalno opozvano stanje.

Ako administrator kupca opozove ključ iz AWS KMS konzole, onda se AWS KMS ključ prikazuje u stanju „Opozvano od strane Amazon“ na platformi Control Hub.

Izbrišite svoj AWS KMS ključ
1

Prijavite se u Control Hub i idite do stavki Podešavanja organizacije > Upravljanje ključevima.

2

Idite na opozvani AWS KMS ključ.

3

Kliknite Meni „Još“ i izaberite Izbriši.

4

Potvrdite brisanje ključa.

Kada se ključ izbriše, možete da oporavite u roku od 30 dana.

Preporučujemo da prvo izbrišete AWS KMS ključ iz platforme Control Hub pre nego što izbrišete CMK iz AWS konzole. Ako izbrišete CMK iz AWS konzole pre nego što izbrišete AWS KMS ključ na platformi Control Hub, možda ćete naići na probleme.

Uverite se da AWS KMS ključ više nije vidljiv na portalu Control Hub pre nego što izbrišete CMK iz AWS konzole.

Vratite svoj AWS KMS ključ
1

Prijavite se u Control Hub i idite do stavki Podešavanja organizacije > Upravljanje ključevima.

2

Idite na izbrisani AWS KMS ključ.

3

Kliknite Meni „Još“ i izaberite Opozovi.

4

Potvrdite vraćanje ključa.

Kada se uspostavi, Control Hub vam pokazuje ključ u stanju opozvanog.

Rešite probleme vašeg AWS KMS ključa

Ako naiđete na probleme sa AWS KMS ključem, koristite sledeće informacije da biste ga rešili.

  • AWS KMS ARN ključ. Na primer, RNK:AWS:KMS:US-EAST-2:111122223333:KEY/1234ABCD-12AB-34CD-56EF-1234567890AB.

  • Grantovi na AWS KMS ključu.

  • Stanje AWS KMS ključa. Na primer, AWS KMS ključ je onemogućen.

Primer: Kreirajte i šifrujte ključeve pomoću programa OpenSSL

Ovaj primer koristi verziju 3.0 OpenSSL komandne linije. Pogledajte OpenSSL da biste saznali više o ovim alatkama.

1

Prijavite se u kontrolno čvorište.

2

Pristupite opciji Podešavanja organizacije > Upravljanje ključevima.

3

Kliknite na Preuzmi javni ključ.

Dobijate Webex HSM javni ključ u .pem datoteci na vašem lokalnom sistemu.

4

Kreirajte 256-bitni (32 bajta) ključ: openssl rand -out main_key.bin 32.

Primer koristi ime datoteke main_key.bin za vaš nešifrovani novi ključ.

Osim toga, možete da generišete 32-bajtnu nasumičnu vrednost koristeći Hex ispis, Python ili mrežne generatore. Takođe možete da kreirate AWS KMS ključ i da upravljate.

5

Koristite javni ključ Webex HSM da biste šifrovali novi ključ:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Primer koristi ime datoteke main_key_encrypted.bin za šifrovani izlazni ključ i putanju/u/public.pem za javni Webex ključ.

Šifrovani ključ je spreman da otpremite u Control Hub.

Povezani članci