Om kundens huvudnycklar

Som en del av vårt åtagande för säkerhet från slutpunkt till slutpunkt har Webex en huvudnyckel för varje organisations räkning. Vi kallar den för en huvudnyckel eftersom den inte krypterar innehåll direkt, men den används för att kryptera din organisations andra nycklar som krypterar innehållet. Nyckelhierarkins basnivå kallas innehållsnyckeln (CK) och nyckelernas mellanliggande nivåer kallas nyckelkrypteringsnycklar (KEK).

Vi är medvetna om att vissa organisationer föredrar att hantera sin egen säkerhet, så vi ger dig möjlighet att hantera din egen kundhuvudnyckel (CMK). Det innebär att du tar ansvar för att skapa och rotera (omkryptera) huvudnyckeln som Webex använder för att kryptera dina krypteringsnycklar för innehåll.

Framöver hänvisar en nyckel till CMK om inget annat anges.

Så här går det till:

  1. Webex behåller din CMK i en maskinvarusäkerhetsmodul (HSM) så att Webex-tjänsterna inte har åtkomst till CMK-värdet.

  2. Control Hub visar din aktuella aktiva eller återkallade CMK och alla väntande CMK som lagras i HSM. När du behöver rotera (omkryptera) CMK genererar du din nya CMK och krypterar den med HSM:s offentliga nyckel, så att endast HSM kan dekryptera och lagra den.

  3. Du laddar sedan upp och aktiverar den nya CMK i Control Hub. Webex börjar omedelbart använda den nya CMK för att kryptera dina innehållsnycklar. Webex behåller den gamla CMK, men endast tills du är säker på att dina krypteringsnycklar för innehåll skyddas av den nya CMK.

Vi omkrypterar inte allt befintligt innehåll retroaktivt. När du har aktiverat din CMK krypteras och skyddas allt nytt innehåll (utrymmen och möten).
Om AWS KMS-nycklar

Vi inser att vissa organisationer föredrar att hantera sin egen nyckel utanför Webex. Därför ger vi dig alternativet att hantera din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Detta innebär att du är ansvarig för att hantera dina nycklar i AWS KMS. Du tillåter att Webex krypterar och dekrypterar med din AWS KMS-nyckel via AWS-konsolen. Du ger Webex ditt AWS KMS-nyckel-ID i stället för din CMK. Det innebär att du tar ansvar för att skapa och rotera (omkryptera) den AWS KMS-nyckel som Webex använder för att kryptera dina krypteringsnycklar för innehåll i molnet.

Så här går det till:

  1. Du skapar en nyckel med AWS. AWS KMS används för att hantera din nyckel och lagrar nyckeln i en maskinvarusäkerhetsmodul (HSM).

  2. Du ger Webex åtkomst att använda AWS KMS-nyckeln via AWS-konsolen.

    Det innebär att du i stället för att överföra din CMK till Control Hub ger Webex åtkomst till AWS KMS-nyckeln. AWS KMS-nyckeln lämnar inte dina AWS KMS och Webex-tjänster har inte åtkomst till AWS KMS-nyckelmaterial.

    Control Hub visar din aktuella aktiva eller återkallade AWS KMS-nyckel och alla väntande AWS KMS-nyckel som lagras i AWS KMS. När du behöver rotera AWS KMS-nyckeln genererar du din nya AWS KMS-nyckel med AWS KMS-konsolen.

  3. Du lägger sedan till och aktiverar den nya AWS KMS-nyckeln i Control Hub och ger den Amazon Resource Name (ARN) för den nya AWS KMS-nyckeln. Webex börjar omedelbart använda den nya AWS KMS-nyckeln för att kryptera dina innehållsnycklar. Webex kräver inte längre den gamla AWS KMS-nyckeln. Den gamla AWS KMS-nyckeln försvinner från Control Hub när dina innehållskrypteringsnycklar har roterats och skyddas av den nya AWS KMS-nyckeln. Webex tar inte bort AWS KMS-nyckeln från AWS KMS. Din kundadministratör kan ta bort nyckeln från AWS KMS.

Nyckeltillstånd och livscykel

Nyckellivscykel

Definitioner för nyckeltillstånd

Väntande

En nyckel i det här tillståndet lagras i HSM men används ännu inte för kryptering. Webex använder inte denna CMK för kryptering.

Endast en nyckel kan ha detta tillstånd.
Aktiv

Webex använder för närvarande denna CMK för att kryptera andra nycklar för din organisation.

Endast en nyckel kan ha detta tillstånd.
Rotering

Webex använder tillfälligt denna CMK. Webex behöver det för att avkryptera dina data och nycklar som tidigare har krypterats med den här nyckeln. Den här nyckeln är inaktuell när rotationen (omkryptering) är slutförd.

Flera nycklar kan vara i detta tillstånd om en ny nyckel aktiveras innan rotationen är klar.
Ur bruk

Webex använder inte denna CMK. Den här nyckeln används inte längre för kryptering. En nyckel tid-to-live ställs in, varefter denna nyckel tas bort från HSM.

Återkallad

Webex använder inte denna CMK. Även om det finns data och nycklar som krypterats med den här nyckeln kan Webex inte använda den för att avkryptera data och nycklar.

  • Du behöver bara återkalla en aktiv nyckel om du tror att den har komprometterats. Detta är ett allvarligt beslut eftersom det hindrar många operationer från att uppföra sig korrekt. Du kan till exempel inte skapa nya utrymmen och du kan inte avkryptera något innehåll i Webex-klienten.
  • Endast en nyckel kan ha detta tillstånd. Du måste återaktivera den här nyckeln för att rotera (omkryptera) en ny nyckel.
  • Denna CMK kan tas bort, men du behöver inte ta bort den. Du kanske vill behålla det för dekryptering/omkryptering när du har löst det misstänkta säkerhetsöverträdandet.
Borttaget

Webex använder inte denna CMK. Beteendet i detta tillstånd är detsamma som tillståndet Återkallad förutom att en nyckel tid-to-live anges, varefter nyckeln tas bort från HSM.

  • Om en borttagen CMK utvecklas till statusen Borttagen måste du återställa den ursprungliga nyckeln för att återställa funktionaliteten till organisationen.
  • Vi rekommenderar att du behåller en säkerhetskopia av din ursprungliga nyckel, annars kommer din organisation inte längre att fungera.
Borttaget

Detta är ett logiskt tillstånd. Webex har inte denna CMK lagrad i HSM. Den visas inte i Control Hub.

Krav

Äganderätt

Genom att ta äganderätten till din CMK måste du:

  • Ta ansvar för säkert skapande och säkerhetskopiering av dina nycklar
  • Förstå konsekvenserna av att förlora dina nycklar
  • Omkryptera din aktiva CMK minst en gång om året som bästa praxis

Nyckelgenerering

Du måste skapa en egen CMK med hjälp av dessa parametrar. Din nyckel måste vara:

  • 32 byte lång 256 bitar
  • Krypterad med RSA-OAEP-schemat
  • Krypterad med den offentliga nyckeln för HSM i Webex-molnet

Programvaran för nyckelgenerering måste kunna:

  • SHA-256-hash-funktion
  • MGF1-maskgenereringsfunktion
  • PKCS#1 OAEP-fyllning

Se Exempel: Skapa och kryptera nycklar med OpenSSL på fliken Resurser i den här artikeln.

Behörighet

Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara fullständig administratör för att hantera din CMK.

Skapa och aktivera din kundhuvudnyckel
1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

För att aktivera BYOK växlar du på Hämta din egen nyckel (BYOK) . Om du inaktiverar BYOK blir den gemensamma standardnyckeln för Webex huvudnyckeln för din organisation.

3

Välj Överför en anpassad nyckel och klicka på Nästa.

4

Klicka på Hämta offentlig nyckel.

Spara den offentliga nyckeln för Webex HSM i en .pem-fil på ditt lokala system.

5

Skapa en kryptografiskt säker 256-bitars (32-byte) slumpmässig nyckel med din programvara för nyckelhantering.

6

Använd den offentliga nyckeln för Webex HSM för att kryptera din nya nyckel.

Följande krypteringsparametrar krävs:

  • RSA-OAEP-system
  • SHA-256-hash-funktion
  • MGF1-maskgenereringsfunktion
  • PKCS#1 OAEP-fyllning
Se Exempel: Skapa och kryptera nycklar med OpenSSL på fliken Resurser i den här artikeln.
7

Dra den krypterade nyckeln från filsystemet och släpp den i uppladdningsområdet i Control Hub-gränssnittet eller klicka på Välj en fil.

8

Klicka på Nästa.

Webex laddar upp din nyckel till HSM, där den dekrypteras och valideras. Sedan visar Control Hub ID:t för din nya CMK och ID:t för den aktuella aktiva CMK, om det finns någon.

Om detta är din första CMK är den för närvarande aktiva nyckeln den gemensamma standardnyckeln för Webex (den som vi för närvarande använder för att kryptera din organisations nycklar).

9

Välj hur du vill aktivera din nyckel:

  • Aktivera ny nyckel: Den nya CMK försätts omedelbart i aktivt tillstånd. Den tidigare aktiva CMK:n går till Rotation (omkrypteringsläge) tills allt innehåll skyddas av den nya CMK:n, varefter Webex tar bort den tidigare aktiva CMK:n.
  • Aktivera senare: Den nya CMK flyttas till vänteläge. Webex behåller denna CMK i HSM, men använder den inte än. Webex fortsätter att använda den för närvarande aktiva CMK för att kryptera organisationens nycklar.

Nästa steg

Vi omkrypterar inte allt befintligt innehåll retroaktivt. När du har aktiverat CMK kommer allt nytt innehåll (utrymmen och möten) att krypteras och skyddas på nytt.
Rotera din nyckel
1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

3

Gå till den aktiva CMK:n.

4

Klicka på Menyn Mer och välj Rotera.

5

Skapa och kryptera en ny nyckel (om du inte redan har gjort det).

Processen beskrivs i Skapa och aktivera din kundhuvudnyckel i den här artikeln.
6

Dra den nya nyckeln från filsystemet och släpp den i Control Hub.

7

Klicka på Aktivera ny nyckel.

Den nya nyckeln som du har överfört går till statusen Aktiv.

Den gamla CMK förblir i Rotation (omkrypteringsläge) tills Webex har slutfört kryptering av allt innehåll med den nya aktiva CMK. Efter omkryptering flyttas nyckeln till Inaktiv status. Webex tar sedan bort den gamla CMK.

Återkalla din nyckel
1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

3

Gå till den aktiva nyckeln.

4

Klicka på Menyn Mer och välj Återkalla.

5

Bekräfta nyckelåterkallelsen.

Det kan upp till 10 minuter att återkalla din nyckel helt.
Återaktivera din återkallade nyckel
1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

3

Gå till nyckeln som för närvarande har återkallats.

4

Klicka på Menyn Mer och välj Aktivera.

5

Bekräfta nyckelaktiveringen.

Den tidigare återkallade nyckeln går till statusen Aktiv.
Ta bort din återkallade nyckel
1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

3

Gå till den återkallade nyckeln.

4

Klicka på Menyn Mer och välj Ta bort.

5

Bekräfta nyckelborttagningen.

När du har tagit bort har du möjlighet att återställa nyckeln inom 30 dagar.
Återställ din återkallade nyckel
1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

3

Gå till den borttagna nyckeln.

4

Klicka på Menyn Mer och välj Återställ.

5

Bekräfta nyckelåterställning.

När den har återställts visar Control Hub nyckeln med statusen Återkallad innan den togs bort. Om du till exempel tar bort en återkallad nyckel och sedan återställer nyckeln, visar Control Hub den återställda nyckeln med statusen Återkallad.

Krav

Äganderätt

Genom att äga din AWS KMS-nyckel måste du:

  • Ta ansvar för att säkert skapa och säkerhetskopiera dina AWS KMS-nycklar.
  • Förstå konsekvenserna av att förlora dina AWS KMS-nycklar.
  • Omkryptera din aktiva AMS KMS-nyckel minst en gång om året som bästa praxis.

Behörighet

  • Du måste vara behörig att skapa och hantera dina nycklar i AWS KMS för din Webex-organisation.
  • Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara fullständig administratör för att hantera din AWS KMS-nyckel.
Skapa en AWS KMS-nyckel
1

Logga in på AWS och gå till AWS KMS-konsolen.

2

Välj Kundhanterade nycklar och klicka sedan på Skapa nyckel.

3

Skapa nyckeln med följande attribut:

  • Nyckeltyp – Välj Symmetrisk.
  • Nyckelanvändning – Välj Kryptera och avkryptera.
  • Etiketter – ange alias, beskrivning och taggar.
  • Nyckeladministratörer – Välj organisationens nyckeladministratörsanvändare och roller.
  • Nyckelborttagning – Markera Tillåt nyckeladministratörer att ta bort denna nyckel.
  • Nyckelanvändare – välj organisationens nyckelanvändare och roller.
4

Klicka på Nästa.

5

Granska dina inställningar och klicka på Slutför.

Din AWS KMS-nyckel har skapats.
6

Gå till Kundhanterade nycklar och klicka på alias eller nyckel-ID för att visa ARN.

Nästa steg

Vi rekommenderar att du behåller en tillfällig kopia av ARN. Denna ARN används för att lägga till och aktivera din AWS KMS-nyckel i Control Hub.

Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln
1

Logga in på AWS och gå till AWS CloudShell-konsolen.

2

Kör skapa-bidrag för att auktorisera Webex enligt följande:

aws kms create-grant \ --name {UNIKT_NAMN_FÖR_GRANT} \ --key-id {UUID_Of_AWS_KMS-nyckel} \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal {KMS_CISCO_USER_ARN} \ --retiring-principal {KMS_CISCO_USER_ARN}
Till exempel: 
aws kms skapa-grant \ --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ --operations Encrypt Decrypt DescribeKey \ --grantee-principal arn:aws:iam::xxxxxxxxxxxxxx:user/kms-cisco-user \ --retiring-principal arn:aws:iam::xxxxxxxxxxxxxxxx:user/kms- cisco-user
KMS_CISCO_USER_ARN är specifik för din organisation. ARN visas i fönstret Lägg till din AWS-nyckel när du aktiverar din nya AWK KMS-nyckel i Control Hub.
Lägg till och aktivera din AWS KMS-nyckel

Innan du börjar

Du måste skapa en AWS KMS-nyckel innan du aktiverar den i Control Hub. Se Skapa en AWS KMS-nyckel i den här artikeln.

Du måste ge Webex åtkomst till AWS KMS-nyckeln. Se Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln i den här artikeln.

1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering och aktivera Hämta din egen nyckel (BYOK) .

Om du inaktiverar BYOK blir den gemensamma standardnyckeln för Webex huvudnyckeln för din organisation.

3

Välj Lägg till AWS KMS-nyckel och klicka på Nästa.

4

Hämta ARN från AWS-konsolen.

5

Ange ARN i Control Hub och klicka på Lägg till.

Din nyckel-ARN överförs till Cisco KMS där åtkomst till nyckeln valideras. Sedan visar Control Hub Cisco KMS-nyckel-ID:t för din nya AWS KMS-nyckel och det för närvarande aktiva Cisco KMS-nyckel-ID, om något.

Om det här är din första AWS KMS-nyckel är den för närvarande aktiva nyckeln den vanliga Webex-standardnyckeln (den som vi för närvarande använder för att kryptera din organisations nycklar).

6

Välj hur du vill aktivera din nyckel:

  • Aktivera: Den nya AWS KMS-nyckeln går omedelbart till aktivt tillstånd.
  • Aktivera senare: Den nya AWS KMS-nyckeln flyttas till vänteläge. Webex behåller denna AWS KMS-nyckel-ARN i Cisco KMS, men använder den inte än. Webex fortsätter att använda den för närvarande aktiva AWS KMS-nyckeln för att kryptera din organisations nycklar.
Rotera din AWS KMS-nyckel
1

Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.

2

Gå till den aktiva AWS KMS-nyckeln.

3

Klicka på Menyn Mer och välj Rotera.

4

Ange din nya AWS KMS-nyckel och din nya ARN och klicka på Lägg till.

Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.
5

Klicka på Aktivera.

Den nya AWS KMS-nyckeln som du har överfört går till Aktiv status.

Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört kryptering av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub.

Rotera för att lägga till en annan AWS KMS-nyckel (valfritt)
1

Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.

2

Klicka på Lägg till en annan nyckel.

3

Ange din nya AWS KMS-nyckel och klicka på Lägg till.

Control Hub visar Cisco KMS-nyckel-ID:t för din nya AWS KMS-nyckel och ID:t för det aktuella aktiva Cisco KMS-nyckel-ID:t.

Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.

4

Klicka på Aktivera.

Den nya AWS KMS-nyckeln som du har överfört går till Aktiv status.

Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört kryptering av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub.

Återkalla din AWS KMS-nyckel
1

Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.

2

Gå till den för närvarande aktiva AWS KMS-nyckeln.

3

Klicka på Menyn Mer och välj Återkalla lokalt.

4

Bekräfta nyckelåterkallelsen.

Det kan upp till 10 minuter att återkalla din nyckel helt. AWS KMS-nyckeln går till tillståndet Lokalt återkallat.

Om din kundadministratör återkallar nyckeln från AWS KMS-konsolen visas AWS KMS-nyckeln i tillståndet Återkallad av Amazon i Control Hub.

Ta bort din AWS KMS-nyckel
1

Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.

2

Gå till den återkallade AWS KMS-nyckeln.

3

Klicka på Menyn Mer och välj Ta bort.

4

Bekräfta nyckelborttagningen.

När du har tagits bort kan du återställa nyckeln inom 30 dagar.

Vi rekommenderar att du först tar bort AWS KMS-nyckeln från Control Hub innan du tar bort CMK från AWS-konsolen. Om du tar bort CMK från AWS-konsolen innan du tar bort AWS KMS-nyckeln i Control Hub kan det uppstå problem.

Se till att AWS KMS-nyckeln inte längre är synlig i Control Hub innan du tar bort din CMK från AWS-konsolen.

Återställ AWS KMS-nyckeln
1

Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.

2

Gå till den borttagna AWS KMS-nyckeln.

3

Klicka på Menyn Mer och välj Återställ.

4

Bekräfta nyckelåterställning.

När den har återställts visar Control Hub nyckeln med statusen Återkallad.

Felsök din AWS KMS-nyckel

Om du stöter på problem med din AWS KMS-nyckel kan du använda följande information för att felsöka den.

  • ARN för AWS KMS-nyckel. Till exempel arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Bidrag på AWS KMS-nyckeln.

  • AWS KMS-nyckelstatus. AWS KMS-nyckeln är till exempel inaktiverad.

Exempel: Skapa och kryptera nycklar med OpenSSL

Detta exempel använder version 3.0 av kommandoradsverktygen för OpenSSL. Se OpenSSL för mer information om dessa verktyg.

1

Logga in på Control Hub.

2

Gå till Organisationsinställningar > Nyckelhantering.

3

Klicka på Hämta offentlig nyckel.

Du får den offentliga nyckeln för Webex HSM i en .pem-fil på ditt lokala system.

4

Skapa en 256-bitars (32 byte) nyckel: openssl rand -out main_key.bin 32.

Exemplet använder filnamnet main_key.bin för din okrypterade nya nyckel.

Alternativt kan du generera ett slumpmässigt 32-byte värde med hjälp av hex-dump, Python eller online-generatorer. Du kan även skapa och hantera din AWS KMS-nyckel.

5

Använd den offentliga nyckeln för Webex HSM för att kryptera din nya nyckel:

openssl pkeyutl -encrypt -pubin -inkey sökväg/till/public.pem -in main_key.bin-fil -ut main_key_encrypted.bin-fil -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Exemplet använder filnamnet main_key_encrypted.bin för den krypterade utdatanyckeln och filnamnet sökväg/till/public.pem för den offentliga Webex-nyckeln.

Den krypterade nyckeln är redo att laddas upp till Control Hub.

Relaterad läsning