Webex är som standard säkert och vi har en huvudnyckel för att kryptera alla din organisations krypteringsnycklar. Om du föredrar att styra organisationens huvudnyckel kan du göra det med Control Hub och dina favoritverktyg för nyckelhantering.
Som en del av vårt engagemang för fullständig säkerhet har Webex en huvudnyckel för varje organisations räkning. Vi kallar det en huvudnyckel eftersom den inte krypterar innehåll direkt, utan den används för att kryptera din organisations andra nycklar som krypterar innehållet. Basnivån i nyckelhierarkin kallas för innehållsnyckeln (CK) och mellannivåerna för nycklarna kallas för nyckelkrypteringsnycklar (KEK).
Vi vet att vissa organisationer föredrar att hantera sin egen säkerhet, så vi ger dig möjlighet att hantera din egen huvudnyckel (CMK). Detta innebär att du tar ansvar för att skapa och rotera (omkryptera) huvudnyckeln som Webex använder för att kryptera dina innehållskrypteringsnycklar.
En nyckel hänvisar framåt till CMK om inget annat anges.
Hur det fungerar
Webex sparar din CMK i en säkerhetsmodul för maskinvara (HSM) så att Webex-tjänsterna inte har tillgång till CMK-värdet.
Control Hub visar din aktiva eller återkallade CMK och eventuella pågående CMK som lagras i HSM. När du behöver rotera (omkryptera) CMK genererar du din nya CMK och krypterar den med HSM:s offentliga nyckel, så att endast HSM kan dekryptera och lagra den.
Sedan laddar du upp och aktiverar den nya CMK:n i Control Hub. Webex börjar omedelbart använda den nya CMK för kryptering av dina innehållsnycklar. Webex behåller den gamla CMK, men endast tills det är säkert att dina innehållskrypteringsnycklar skyddas av den nya CMK.
 | Vi krypterar inte allt befintligt innehåll retroaktivt. När du har aktiverat din CMK kommer allt nytt innehåll (utrymmen och möten) att krypteras och skyddas. |
Vi inser att vissa organisationer föredrar att hantera sin egen nyckel utanför Webex. Det är därför vi ger dig möjlighet att hantera din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Detta innebär att du ansvarar för att hantera dina nycklar i AWS KMS. Du ger Webex behörighet att kryptera och avkryptera med AWS KMS-nyckeln via AWS-konsolen. Du ger Webex ditt AWS KMS nyckel-ID i stället för din CMK. Detta innebär att du tar ansvar för att skapa och rotera (omkryptera) AWS KMS-nyckeln som Webex använder för att kryptera dina innehållskrypteringsnycklar i molnet.
Hur det fungerar
Du skapar en nyckel med AWS. AWS KMS används för att hantera din nyckel och lagrar nyckeln i en maskinvarusäkerhetsmodul (HSM).
Du ger Webex åtkomst till att använda AWS KMS-nyckeln via AWS-konsolen.
Detta innebär att du i stället för att ladda upp din CMK till Control Hub ger Webex åtkomst till AWS KMS-nyckeln. AWS KMS-nyckeln lämnar inte dina AWS KMS och Webex-tjänster har inte åtkomst till AWS KMS-nyckelmaterialet.
Control Hub visar din för närvarande aktiva eller återkallade AWS KMS-nyckel och alla väntande AWS KMS-nycklar som lagras i AWS KMS. När du behöver rotera AWS KMS-nyckeln genererar du din nya AWS KMS-nyckel med AWS KMS-konsolen.
Du lägger sedan till och aktiverar den nya AWS KMS-nyckeln i Control Hub och ger den Amazon Resource Name (ARN) för den nya AWS KMS-nyckeln. Webex börjar omedelbart använda den nya AWS KMS-nyckeln för att kryptera dina innehållsnycklar. Webex kräver inte längre den gamla AWS KMS-nyckeln. Den gamla AWS KMS-nyckeln försvinner från Control Hub när dina innehållskrypteringsnycklar har roterats och säkrats av den nya AWS KMS-nyckeln. Webex tar inte bort AWS KMS-nyckeln från AWS KMS. Din kundadministratör kan ta bort nyckeln från AWS KMS.
Nyckelns livscykel
Nyckelstatusdefinitioner
- Väntar
-
En nyckel i detta tillstånd lagras i HSM, men den används inte för kryptering ännu. Webex använder inte denna CMK för kryptering.
Endast en nyckel kan vara i detta tillstånd. - Aktiv
-
Webex använder för närvarande denna CMK för att kryptera andra nycklar för din organisation.
Endast en nyckel kan vara i detta tillstånd. - Rotation
-
Webex använder tillfälligt denna CMK. Webex behöver den för att dekryptera dina data och nycklar som tidigare krypterades med den här nyckeln. Den här nyckeln tas bort när rotationen (omkryptering) är klar.
Flera knappar kan vara i detta tillstånd om en ny knapp aktiveras innan rotationen är slutförd. - Pensionerad
-
Webex använder inte denna CMK. Den här nyckeln används inte längre för kryptering. En nyckel som leder till livslängd ställs in, varefter denna nyckel tas bort från HSM.
- Återkallad
-
Webex använder inte denna CMK. Även om det finns data och nycklar som har krypterats med den här nyckeln kan Webex inte använda den för att dekryptera data och nycklar.
- Du behöver bara återkalla en aktiv nyckel om du misstänker att den har äventyrats. Detta är ett allvarligt beslut eftersom det förhindrar att många åtgärder fungerar som de ska. Du kommer till exempel inte att kunna skapa nya utrymmen och du kommer inte att kunna dekryptera något innehåll i Webex-klienten.
- Endast en nyckel kan vara i detta tillstånd. Du måste återaktivera den här nyckeln för att rotera (omkryptera) en ny nyckel.
- Denna CMK kan tas bort men du behöver inte ta bort den. Du kanske vill behålla den för dekryptering/omkryptering efter att du har löst det misstänkta säkerhetsbrottet.
- Borttaget
-
Webex använder inte denna CMK. Beteendet i det här läget är detsamma som i läget Återkallat, förutom att en nyckel har ställts in, varefter den här nyckeln tas bort från HSM.
- Om en borttagen CMK fortsätter till statusen Borttagen måste du återställa den ursprungliga nyckeln för att återställa funktionaliteten i organisationen.
- Vi rekommenderar att du sparar en säkerhetskopia av originalnyckeln, annars kommer organisationen inte längre att fungera.
- Borttaget
-
Detta är ett logiskt tillstånd. Webex har inte denna CMK lagrad i HSM. Det visas inte i Control Hub.
Ägande
Genom att överta ägandet av din CMK måste du:
- Ta ansvar för säker skapande och säkerhetskopiering av dina nycklar
- Förstå konsekvenserna av att förlora dina nycklar
- Kryptera din aktiva CMK minst en gång per år som bästa praxis
Skapa nycklar
Du måste skapa din egen CMK med dessa parametrar. Din nyckel måste vara:
- 256 bitar (32 byte) långa
- Krypterad med RSA-OAEP-schemat
- Krypterad med den offentliga HSM-nyckeln för Webex moln
Programvaran för nyckelgenerering måste kunna:
- SHA-256 hash-funktion
- MGF1-maskgenereringsfunktion
- PKCS#1 OAEP-utfyllnad
Se Exempel: Skapa och kryptera nycklar med OpenSSL på fliken Resurser i den här artikeln.
Behörighet
Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara en fullständig administratör för att hantera din CMK.
| 1 | |
| 2 | Gå till . Aktivera BYOK genom att växla Ta med din egen nyckel (BYOK) på. Om du inaktiverar BYOK visas Webex gemensam standardnyckel blir huvudnyckeln för din organisation. |
| 3 | Välj Ladda upp en anpassad nyckel och klicka på Nästa. |
| 4 | Klicka på Hämta offentlig nyckel . Spara den offentliga Webex HSM-nyckeln i en .pem-fil på ditt lokala system. |
| 5 | Skapa en kryptografiskt säker 256-bitars (32 byte) slumpmässig nyckel med ditt nyckelhanteringsprogram. |
| 6 | Använd den offentliga Webex HSM-nyckeln för att kryptera din nya nyckel. De obligatoriska krypteringsparametrarna är:
Se Exempel: Skapa och kryptera nycklar med OpenSSL på fliken Resurser i den här artikeln.
|
| 7 | Dra den krypterade nyckeln från ditt filsystem och släpp den i överföringsområdet i Control Hub-gränssnittet eller klicka på Välj en fil . |
| 8 | Klicka på Nästa. Webex överför din nyckel till HSM, där den dekrypteras och valideras. Sedan visar Control Hub ID:t för din nya CMK och ID:t för den aktiva CMK, om det finns något. Om detta är din första CMK är den aktiva nyckeln Webex gemensam standardnyckel (den som vi för närvarande använder för att kryptera din organisations nycklar). |
| 9 | Välj hur du vill aktivera din nyckel:
|
Nästa steg
| Vi krypterar inte allt befintligt innehåll retroaktivt. När du har aktiverat CMK kommer allt nytt innehåll (utrymmen och möten) att krypteras och skyddas på nytt. |
| 1 | |
| 2 | Gå till . |
| 3 | Gå till den aktiva CMK. |
| 4 | Klicka |
| 5 | Skapa och kryptera en ny nyckel (om du inte har gjort det ännu). Processen beskrivs i Skapa och aktivera din kundhuvudnyckel i den här artikeln.
|
| 6 | Dra den nya nyckeln från ditt filsystem och släpp den i Control Hub. |
| 7 | Klicka på Aktivera ny nyckel . Den nya nyckeln som du överförde får läget Aktiv. Den gamla CMK förblir i rotation (återkrypteringsstatus) tills Webex har slutfört kryptering av allt innehåll med den nya aktiva CMK. När du har krypterat på nytt flyttas nyckeln till Pensionerad status. Webex tar sedan bort den gamla CMK. |
och välj | 1 | |
| 2 | Gå till . |
| 3 | Gå till den borttagna nyckeln. |
| 4 | Klicka |
| 5 | Bekräfta nyckelåterställningen. När den har återställts visar Control Hub nyckeln i statusen Återkallat innan den togs bort. Om du till exempel tar bort en återkallad nyckel och sedan återställer nyckeln, visar Control Hub den återställda nyckeln i statusen Återkallad.
|
Ägande
Genom att ta del av din AWS KMS-nyckel måste du:
- Ta ansvar för säker skapande och säkerhetskopiering av dina AWS KMS-nycklar.
- Förstå konsekvenserna av att förlora dina AWS KMS-nycklar.
- Kryptera på nytt din aktiva AMS KMS-nyckel minst en gång per år som bästa praxis.
Behörighet
- Du måste ha behörighet att skapa och hantera dina nycklar i AWS KMS för din Webex-organisation.
- Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara en fullständig administratör för att hantera din AWS KMS-nyckel.
| 1 | Logga in på AWS och gå till AWS KMS-konsolen. |
| 2 | Välj Kundhanterade nycklar och klicka sedan på Skapa nyckel. |
| 3 | Skapa nyckeln med följande attribut:
|
| 4 | Klicka på Nästa. |
| 5 | Granska dina inställningar och klicka på Slutför. AWS KMS-nyckeln har skapats.
|
| 6 | Gå till kundhanterade nycklar och klicka på alias eller nyckel-ID för att visa ARN. |
Nästa steg
Vi rekommenderar att du behåller en tillfällig kopia av den nationella regleringsmyndigheten. Den här ARN används för att lägga till och aktivera din AWS KMS-nyckel i Control Hub.
| 1 | Logga in på AWS och gå till AWS CloudShell-konsolen. | ||
| 2 | Kör
|
Innan du börjar
Du måste skapa en AWS KMS-nyckel innan du aktiverar den i Control Hub. Se Skapa en AWS KMS-nyckel i den här artikeln.
Du måste ge Webex åtkomst till AWS KMS-nyckeln. Se Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln i den här artikeln.
| 1 | |
| 2 | Gå till och aktivera Ta med din egen nyckel (BYOK). Om du inaktiverar BYOK visas Webex gemensam standardnyckel blir huvudnyckeln för din organisation. |
| 3 | Välj Lägg till AWS KMS-nyckel och klicka på Nästa. |
| 4 | Hämta ARN från AWS-konsolen. |
| 5 | Ange ARN i Control Hub och klicka på Lägg till. Din nyckel-ARN överförs till Cisco KMS, där åtkomst till nyckeln valideras. Sedan visar Control Hub dig Cisco KMS nyckel-ID för din nya AWS KMS-nyckel och det nuvarande aktiva Cisco KMS-nyckel-ID, om något. Om det här är din första AWS KMS-nyckel är den för närvarande aktiva nyckeln den gemensamma standardnyckeln för Webex (den som vi för närvarande använder för att kryptera din organisations nycklar). |
| 6 | Välj hur du vill aktivera din nyckel:
|
| 1 | Logga in på Control Hub och gå till . |
| 2 | Gå till den aktiva AWS KMS-nyckeln. |
| 3 | Klicka |
| 4 | Ange din nya AWS KMS-nyckel och nya ARN och klicka på Lägg till. Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.
|
| 5 | Klicka på Aktivera. Den nya AWS KMS-nyckeln som du laddade upp går till aktiv status. Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört kryptering av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub. |
| 1 | Logga in på Control Hub och gå till . |
| 2 | Klicka på Lägg till en annan nyckel. |
| 3 | Ange din nya AWS KMS-nyckel och klicka på Lägg till. Control Hub visar dig Cisco KMS-nyckel-ID för din nya AWS KMS-nyckel och ID för det aktuella aktiva Cisco KMS-nyckel-ID. Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln. |
| 4 | Klicka på Aktivera. Den nya AWS KMS-nyckeln som du laddade upp går till aktiv status. Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört kryptering av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub. |
| 1 | Logga in på Control Hub och gå till . |
| 2 | Gå till den för närvarande aktiva AWS KMS-nyckeln. |
| 3 | Klicka |
| 4 | Bekräfta återkallandet av nyckeln. Det kan gå upp till 10 minuter att helt återkalla din nyckel. AWS KMS-nyckeln går in i tillståndet Lokalt återkallat.
|
| Om din kundadministratör tar tillbaka nyckeln från AWS KMS-konsolen visas AWS KMS-nyckeln i statusen Återkallad av Amazon i Control Hub. |
| 1 | Logga in på Control Hub och gå till . |
| 2 | Gå till den återkallade AWS KMS-nyckeln. |
| 3 | Klicka |
| 4 | Bekräfta borttagningen av nycklar. När du har tagit bort kan du återställa nyckeln inom 30 dagar. |
 | Vi rekommenderar att du först tar bort AWS KMS-nyckeln från Control Hub innan du tar bort din CMK från AWS-konsolen. Om du tar bort din CMK från AWS-konsolen innan du tar bort AWS KMS-nyckeln i Control Hub kan du stöta på problem. Se till att AWS KMS-nyckeln inte längre syns i Control Hub innan du tar bort CMK från AWS-konsolen. |
| 1 | Logga in på Control Hub och gå till . |
| 2 | Gå till den borttagna AWS KMS-nyckeln. |
| 3 | Klicka |
| 4 | Bekräfta nyckelåterställningen. När den har återställts visar Control Hub nyckeln i statusen Återkallat. |
Om du stöter på problem med din AWS KMS-nyckel använder du följande information för att felsöka den.
ARN för AWS KMS-nyckel. Exempel:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.AWS KMS-nyckeltillstånd. Till exempel är AWS KMS-nyckeln inaktiverad.
I det här exemplet används version 3.0 av kommandoradsverktygen OpenSSL. Se OpenSSL för mer information om dessa verktyg.
| 1 | |
| 2 | Gå till . |
| 3 | Klicka på Hämta offentlig nyckel . Du hämtar den offentliga Webex HSM-nyckeln i en .pem-fil på ditt lokala system. |
| 4 | Skapa en 256-bitars (32 byte) nyckel: I exemplet används filnamnetmain_key .bin för din okrypterade nya nyckel. Alternativt kan du generera ett slumpmässigt värde på 32 byte med hjälp av Hex-dump, Python eller online-generatorer. Du kan också skapa och hantera din AWS KMS-nyckel. |
| 5 | Använd den offentliga Webex HSM-nyckeln för att kryptera din nya nyckel:
I exemplet används filnamnetmain_key_encrypted .bin för den krypterade utdatanyckeln och filnamnet sökväg/till/public.pem för den offentliga Webex-nyckeln. Den krypterade nyckeln är redo att överföras till Control Hub. |
