Hantera din egen kundhuvudnyckel

Om kundens huvudnycklar

Som en del av vårt engagemang för fullständig säkerhet har Webex en huvudnyckel för varje organisations räkning. Vi kallar det en huvudnyckel eftersom den inte krypterar innehåll direkt, utan den används för att kryptera din organisations andra nycklar som krypterar innehållet. Basnivån i nyckelhierarkin kallas för innehållsnyckeln (CK) och mellannivåerna för nycklarna kallas för nyckelkrypteringsnycklar (KEK).

Vi vet att vissa organisationer föredrar att hantera sin egen säkerhet, så vi ger dig möjlighet att hantera din egen huvudnyckel (CMK). Detta innebär att du tar ansvar för att skapa och rotera (omkryptera) huvudnyckeln som Webex använder för att kryptera dina innehållskrypteringsnycklar.

En nyckel hänvisar framåt till CMK om inget annat anges.

Hur det fungerar

Webex sparar din CMK i en säkerhetsmodul för maskinvara (HSM) så att Webex-tjänsterna inte har tillgång till CMK-värdet.
Control Hub visar din aktiva eller återkallade CMK och eventuella pågående CMK som lagras i HSM. När du behöver rotera (omkryptera) CMK genererar du din nya CMK och krypterar den med HSM:s offentliga nyckel, så att endast HSM kan dekryptera och lagra den.
Sedan laddar du upp och aktiverar den nya CMK:n i Control Hub. Webex börjar omedelbart använda den nya CMK för kryptering av dina innehållsnycklar. Webex behåller den gamla CMK, men endast tills det är säkert att dina innehållskrypteringsnycklar skyddas av den nya CMK.

Vi krypterar inte allt befintligt innehåll retroaktivt. När du har aktiverat din CMK kommer allt nytt innehåll (utrymmen och möten) att krypteras och skyddas.

Om AWS KMS-nycklar

Vi inser att vissa organisationer föredrar att hantera sin egen nyckel utanför Webex. Det är därför vi ger dig möjlighet att hantera din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Detta innebär att du ansvarar för att hantera dina nycklar i AWS KMS. Du ger Webex behörighet att kryptera och avkryptera med AWS KMS-nyckeln via AWS-konsolen. Du ger Webex ditt AWS KMS nyckel-ID i stället för din CMK. Detta innebär att du tar ansvar för att skapa och rotera (omkryptera) AWS KMS-nyckeln som Webex använder för att kryptera dina innehållskrypteringsnycklar i molnet.

Hur det fungerar

Du skapar en nyckel med AWS. AWS KMS används för att hantera din nyckel och lagrar nyckeln i en maskinvarusäkerhetsmodul (HSM).
Du ger Webex åtkomst till att använda AWS KMS-nyckeln via AWS-konsolen.

Detta innebär att du i stället för att ladda upp din CMK till Control Hub ger Webex åtkomst till AWS KMS-nyckeln. AWS KMS-nyckeln lämnar inte dina AWS KMS och Webex-tjänster har inte åtkomst till AWS KMS-nyckelmaterialet.

Control Hub visar din för närvarande aktiva eller återkallade AWS KMS-nyckel och alla väntande AWS KMS-nycklar som lagras i AWS KMS. När du behöver rotera AWS KMS-nyckeln genererar du din nya AWS KMS-nyckel med AWS KMS-konsolen.
Du lägger sedan till och aktiverar den nya AWS KMS-nyckeln i Control Hub och ger den Amazon Resource Name (ARN) för den nya AWS KMS-nyckeln. Webex börjar omedelbart använda den nya AWS KMS-nyckeln för att kryptera dina innehållsnycklar. Webex kräver inte längre den gamla AWS KMS-nyckeln. Den gamla AWS KMS-nyckeln försvinner från Control Hub när dina innehållskrypteringsnycklar har roterats och säkrats av den nya AWS KMS-nyckeln. Webex tar inte bort AWS KMS-nyckeln från AWS KMS. Din kundadministratör kan ta bort nyckeln från AWS KMS.

Nyckeltillstånd och livscykel

Nyckelns livscykel

Nyckelstatusdefinitioner

Väntar

En nyckel i detta tillstånd lagras i HSM, men den används inte för kryptering ännu. Webex använder inte denna CMK för kryptering.

Endast en nyckel kan vara i detta tillstånd.

Aktiv

Webex använder för närvarande denna CMK för att kryptera andra nycklar för din organisation.

Endast en nyckel kan vara i detta tillstånd.

Rotation

Webex använder tillfälligt denna CMK. Webex behöver den för att dekryptera dina data och nycklar som tidigare krypterades med den här nyckeln. Den här nyckeln tas bort när rotationen (omkryptering) är klar.

Flera knappar kan vara i detta tillstånd om en ny knapp aktiveras innan rotationen är slutförd.

Pensionerad

Webex använder inte denna CMK. Den här nyckeln används inte längre för kryptering. En nyckel som leder till livslängd ställs in, varefter denna nyckel tas bort från HSM.

Återkallad

Webex använder inte denna CMK. Även om det finns data och nycklar som har krypterats med den här nyckeln kan Webex inte använda den för att dekryptera data och nycklar.

Du behöver bara återkalla en aktiv nyckel om du misstänker att den har äventyrats. Detta är ett allvarligt beslut eftersom det förhindrar att många åtgärder fungerar som de ska. Du kommer till exempel inte att kunna skapa nya utrymmen och du kommer inte att kunna dekryptera något innehåll i Webex-klienten.
Endast en nyckel kan vara i detta tillstånd. Du måste återaktivera den här nyckeln för att rotera (omkryptera) en ny nyckel.
Denna CMK kan tas bort men du behöver inte ta bort den. Du kanske vill behålla den för dekryptering/omkryptering efter att du har löst det misstänkta säkerhetsbrottet.

Borttaget

Webex använder inte denna CMK. Beteendet i det här läget är detsamma som i läget Återkallat, förutom att en nyckel har ställts in, varefter den här nyckeln tas bort från HSM.

Om en borttagen CMK fortsätter till statusen Borttagen måste du återställa den ursprungliga nyckeln för att återställa funktionaliteten i organisationen.

Vi rekommenderar att du sparar en säkerhetskopia av originalnyckeln, annars kommer organisationen inte längre att fungera.

Borttaget

Detta är ett logiskt tillstånd. Webex har inte denna CMK lagrad i HSM. Det visas inte i Control Hub.

Krav

Ägande

Genom att överta ägandet av din CMK måste du:

Ta ansvar för säker skapande och säkerhetskopiering av dina nycklar
Förstå konsekvenserna av att förlora dina nycklar
Kryptera din aktiva CMK minst en gång per år som bästa praxis

Skapa nycklar

Du måste skapa din egen CMK med dessa parametrar. Din nyckel måste vara:

256 bitar (32 byte) långa
Krypterad med RSA-OAEP-schemat
Krypterad med den offentliga HSM-nyckeln för Webex moln

Programvaran för nyckelgenerering måste kunna:

SHA-256 hash-funktion
MGF1-maskgenereringsfunktion
PKCS#1 OAEP-utfyllnad

Se Exempel: Skapa och kryptera nycklar med OpenSSL på fliken Resurser i den här artikeln.

Behörighet

Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara en fullständig administratör för att hantera din CMK.

Skapa och aktivera din kundhuvudnyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering . Aktivera BYOK genom att växla Ta med din egen nyckel (BYOK) på. Om du inaktiverar BYOK visas Webex gemensam standardnyckel blir huvudnyckeln för din organisation.
3	Välj Ladda upp en anpassad nyckel och klicka på Nästa.
4	Klicka på Hämta offentlig nyckel . Spara den offentliga Webex HSM-nyckeln i en .pem-fil på ditt lokala system.
5	Skapa en kryptografiskt säker 256-bitars (32 byte) slumpmässig nyckel med ditt nyckelhanteringsprogram.
6	Använd den offentliga Webex HSM-nyckeln för att kryptera din nya nyckel. De obligatoriska krypteringsparametrarna är: RSA-OAEP-schema SHA-256 hash-funktion MGF1-maskgenereringsfunktion PKCS#1 OAEP-utfyllnad Se Exempel: Skapa och kryptera nycklar med OpenSSL på fliken Resurser i den här artikeln.
7	Dra den krypterade nyckeln från ditt filsystem och släpp den i överföringsområdet i Control Hub-gränssnittet eller klicka på Välj en fil .
8	Klicka på Nästa. Webex överför din nyckel till HSM, där den dekrypteras och valideras. Sedan visar Control Hub ID:t för din nya CMK och ID:t för den aktiva CMK, om det finns något. Om detta är din första CMK är den aktiva nyckeln Webex gemensam standardnyckel (den som vi för närvarande använder för att kryptera din organisations nycklar).
9	Välj hur du vill aktivera din nyckel: Aktivera ny nyckel : Den nya CMK:n går omedelbart in i läget Aktiv. Den tidigare aktiva CMK går till rotation (återkrypteringsstatus) tills allt innehåll skyddas av den nya CMK, varefter Webex tar bort den tidigare aktiva CMK. Aktivera senare : Den nya CMK flyttas till läget Väntande. Webex behåller denna CMK i HSM, men använder den inte än. Webex fortsätter att använda den aktiva CMK för att kryptera din organisations nycklar.

Nästa steg

Vi krypterar inte allt befintligt innehåll retroaktivt. När du har aktiverat CMK kommer allt nytt innehåll (utrymmen och möten) att krypteras och skyddas på nytt.

Vrid på nyckeln

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering .
3	Gå till den aktiva CMK.
4	Klicka och välj Rotera.
5	Skapa och kryptera en ny nyckel (om du inte har gjort det ännu). Processen beskrivs i Skapa och aktivera din kundhuvudnyckel i den här artikeln.
6	Dra den nya nyckeln från ditt filsystem och släpp den i Control Hub.
7	Klicka på Aktivera ny nyckel . Den nya nyckeln som du överförde får läget Aktiv. Den gamla CMK förblir i rotation (återkrypteringsstatus) tills Webex har slutfört kryptering av allt innehåll med den nya aktiva CMK. När du har krypterat på nytt flyttas nyckeln till Pensionerad status. Webex tar sedan bort den gamla CMK.

Återkalla din nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering .
3	Gå till den aktiva nyckeln.
4	Klicka och välj Återkalla.
5	Bekräfta återkallandet av nyckeln. Det kan gå upp till 10 minuter att helt återkalla din nyckel.

Återaktivera den återkallade nyckeln

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering .
3	Gå till den för närvarande återkallade nyckeln.
4	Klicka och välj Aktivera.
5	Bekräfta nyckelaktiveringen. Den tidigare återkallade nyckeln går till läget Aktiv.

Ta bort din återkallade nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering .
3	Gå till den återkallade nyckeln.
4	Klicka och välj Ta bort.
5	Bekräfta borttagningen av nycklar. När du har tagit bort kan du återställa nyckeln inom 30 dagar.

Återställ din återkallade nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering .
3	Gå till den borttagna nyckeln.
4	Klicka och välj Ta bort.
5	Bekräfta nyckelåterställningen. När den har återställts visar Control Hub nyckeln i statusen Återkallat innan den togs bort. Om du till exempel tar bort en återkallad nyckel och sedan återställer nyckeln, visar Control Hub den återställda nyckeln i statusen Återkallad.

Krav

Ägande

Genom att ta del av din AWS KMS-nyckel måste du:

Ta ansvar för säker skapande och säkerhetskopiering av dina AWS KMS-nycklar.
Förstå konsekvenserna av att förlora dina AWS KMS-nycklar.
Kryptera på nytt din aktiva AMS KMS-nyckel minst en gång per år som bästa praxis.

Behörighet

Du måste ha behörighet att skapa och hantera dina nycklar i AWS KMS för din Webex-organisation.
Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara en fullständig administratör för att hantera din AWS KMS-nyckel.

Skapa en AWS KMS-nyckel

1	Logga in på AWS och gå till AWS KMS-konsolen.
2	Välj Kundhanterade nycklar och klicka sedan på Skapa nyckel.
3	Skapa nyckeln med följande attribut: Nyckeltyp – Välj Symmetrisk. Nyckelanvändning – välj Kryptera och avkryptera. Etiketter – Ange alias, beskrivning och taggar. Nyckeladministratörer – Välj organisationens nyckeladministratörsanvändare och roller. Borttagning av nycklar – Markera Tillåt nyckeladministratörer att ta bort den här nyckeln. Nyckelanvändare – välj organisationens nyckelanvändare och roller.
4	Klicka på Nästa.
5	Granska dina inställningar och klicka på Slutför. AWS KMS-nyckeln har skapats.
6	Gå till kundhanterade nycklar och klicka på alias eller nyckel-ID för att visa ARN.

Nästa steg

Vi rekommenderar att du behåller en tillfällig kopia av den nationella regleringsmyndigheten. Den här ARN används för att lägga till och aktivera din AWS KMS-nyckel i Control Hub.

Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln

Logga in på AWS och gå till AWS CloudShell-konsolen.

Kör create-grant för att auktorisera Webex enligt följande:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Till exempel:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Filen KMS_CISCO_USER_ARN är specifik för din organisation. ARN visas i fönstret Lägg till din AWS-nyckel när du aktiverar din nya AWK KMS-nyckel i Control Hub.

Lägg till och aktivera din AWS KMS-nyckel

Innan du börjar

Du måste skapa en AWS KMS-nyckel innan du aktiverar den i Control Hub. Se Skapa en AWS KMS-nyckel i den här artikeln.

Du måste ge Webex åtkomst till AWS KMS-nyckeln. Se Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln i den här artikeln.

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering och aktivera Ta med din egen nyckel (BYOK). Om du inaktiverar BYOK visas Webex gemensam standardnyckel blir huvudnyckeln för din organisation.
3	Välj Lägg till AWS KMS-nyckel och klicka på Nästa.
4	Hämta ARN från AWS-konsolen.
5	Ange ARN i Control Hub och klicka på Lägg till. Din nyckel-ARN överförs till Cisco KMS, där åtkomst till nyckeln valideras. Sedan visar Control Hub dig Cisco KMS nyckel-ID för din nya AWS KMS-nyckel och det nuvarande aktiva Cisco KMS-nyckel-ID, om något. Om det här är din första AWS KMS-nyckel är den för närvarande aktiva nyckeln den gemensamma standardnyckeln för Webex (den som vi för närvarande använder för att kryptera din organisations nycklar).
6	Välj hur du vill aktivera din nyckel: Aktivera: Den nya AWS KMS-nyckeln går direkt till aktiv status. Aktivera senare : Den nya AWS KMS-nyckeln flyttar in i väntande tillstånd. Webex behåller den här AWS KMS-nyckel-ARN i Cisco KMS, men använder den inte än. Webex fortsätter att använda den för närvarande aktiva AWS KMS-nyckeln för att kryptera din organisations nycklar.

Rotera din AWS KMS-nyckel

1	Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den aktiva AWS KMS-nyckeln.
3	Klicka och välj Rotera.
4	Ange din nya AWS KMS-nyckel och nya ARN och klicka på Lägg till. Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.
5	Klicka på Aktivera. Den nya AWS KMS-nyckeln som du laddade upp går till aktiv status. Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört kryptering av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub.

Rotera för att lägga till en annan AWS KMS-nyckel (valfritt)

1	Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.
2	Klicka på Lägg till en annan nyckel.
3	Ange din nya AWS KMS-nyckel och klicka på Lägg till. Control Hub visar dig Cisco KMS-nyckel-ID för din nya AWS KMS-nyckel och ID för det aktuella aktiva Cisco KMS-nyckel-ID. Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.
4	Klicka på Aktivera. Den nya AWS KMS-nyckeln som du laddade upp går till aktiv status. Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört kryptering av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub.

Återkalla din AWS KMS-nyckel

1	Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den för närvarande aktiva AWS KMS-nyckeln.
3	Klicka och välj Återta lokalt.
4	Bekräfta återkallandet av nyckeln. Det kan gå upp till 10 minuter att helt återkalla din nyckel. AWS KMS-nyckeln går in i tillståndet Lokalt återkallat.

Om din kundadministratör tar tillbaka nyckeln från AWS KMS-konsolen visas AWS KMS-nyckeln i statusen Återkallad av Amazon i Control Hub.

Ta bort din AWS KMS-nyckel

1	Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den återkallade AWS KMS-nyckeln.
3	Klicka och välj Ta bort.
4	Bekräfta borttagningen av nycklar. När du har tagit bort kan du återställa nyckeln inom 30 dagar.

Vi rekommenderar att du först tar bort AWS KMS-nyckeln från Control Hub innan du tar bort din CMK från AWS-konsolen. Om du tar bort din CMK från AWS-konsolen innan du tar bort AWS KMS-nyckeln i Control Hub kan du stöta på problem.

Se till att AWS KMS-nyckeln inte längre syns i Control Hub innan du tar bort CMK från AWS-konsolen.

Återställ AWS KMS-nyckeln

1	Logga in på Control Hub och gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den borttagna AWS KMS-nyckeln.
3	Klicka och välj Ta bort.
4	Bekräfta nyckelåterställningen. När den har återställts visar Control Hub nyckeln i statusen Återkallat.

Felsöka din AWS KMS-nyckel

Om du stöter på problem med din AWS KMS-nyckel använder du följande information för att felsöka den.

ARN för AWS KMS-nyckel. Exempel: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Bidrag till AWS KMS-nyckeln.
AWS KMS-nyckeltillstånd. Till exempel är AWS KMS-nyckeln inaktiverad.

Exempel: Skapa och kryptera nycklar med OpenSSL

I det här exemplet används version 3.0 av kommandoradsverktygen OpenSSL. Se OpenSSL för mer information om dessa verktyg.

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering .
3	Klicka på Hämta offentlig nyckel . Du hämtar den offentliga Webex HSM-nyckeln i en .pem-fil på ditt lokala system.
4	Skapa en 256-bitars (32 byte) nyckel: `openssl rand 32 -out main_key.bin` I exemplet används filnamnetmain_key .bin för din okrypterade nya nyckel.
5	Använd den offentliga Webex HSM-nyckeln för att kryptera din nya nyckel: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` I exemplet används filnamnetmain_key_encrypted .bin för den krypterade utdatanyckeln och filnamnet sökväg/till/public.pem för den offentliga Webex-nyckeln. Den krypterade nyckeln är redo att överföras till Control Hub.