Geri bildiriminiz için teşekkürler.
Kendi müşteri ana anahtarınızı yönetin
Geri Bildirim?
Uçtan uca güvenlik taahhüdümüzün bir parçası olarak, Webex her kuruluş adına bir ana anahtara sahiptir. Içeriği doğrudan şifrelemediği için buna bir ana anahtar diyoruz. Ancak içeriği şifreleyen kuruluşunuzun diğer anahtarlarını şifrelemek için kullanılır. Anahtar hiyerarşisinin temel düzeyine içerik anahtarı (CK) ve anahtarların ara düzeylerine anahtar şifreleme anahtarları (KEK) denir.
Bazı kuruluşların kendi güvenliklerini yönetmeyi tercih ettiğini biliyoruz. Bu nedenle size kendi müşteri ana anahtarınızı (CMK) yönetme seçeneğini sunuyoruz. Bu, Webex’in içerik şifreleme anahtarlarınızı şifrelemek için kullandığı ana anahtarı oluşturma ve döndürme (yeniden şifreleme) sorumluluğunuzu üstlendiğiniz anlamına gelir.
Bundan sonra, aksi belirtilmedikçe bir anahtar CMK'yı ifade eder.
Nasıl çalışır?
-
Webex, CMK'nızı bir donanım güvenlik modülünde (HSM) tutar, böylece Webex hizmetleri CMK değerine erişemez.
-
Control Hub, şu anda aktif veya iptal edilmiş CMK'nızı ve HSM'de depolanan bekleyen CMK'larınızı gösterir. CMK'yı döndürmeniz (yeniden şifrelemeniz) gerektiğinde, yeni CMK'nızı oluşturun ve yalnızca HSM'nin şifresini çözmesi ve depolayabilmesi için HSM'nin genel anahtarıyla şifreleyin.
-
Ardından, Control Hub’da yeni CMK’yı yükleyip etkinleştirebilirsiniz. Webex içerik anahtarlarınızı şifrelemek için hemen yeni CMK kullanmaya başlar. Webex, eski CMK’yı korur, ancak yalnızca içerik şifreleme anahtarlarınızın yeni CMK tarafından güvenli olduğundan emin olana kadar.
Bazı kuruluşların kendi anahtarlarını Webex dışında yönetmeyi tercih ettiğini biliyoruz. Bu nedenle size Amazon Web Services (AWS) Anahtar Yönetim Hizmeti’nde (KMS) kendi CMK’nızı yönetme seçeneği sunuyoruz. Bu, AWS KMS’de anahtarlarınızı yönetmekten sorumlu olduğunuz anlamına gelir. Webex’e AWS KMS anahtarınızı kullanarak AWS konsolu aracılığıyla şifreleme ve şifresini çözme yetkisi verirsiniz. Webex’e CMK yerine AWS KMS anahtar kimliğinizi sağlarsınız. Bu, Webex’in bulutta içerik şifreleme anahtarlarınızı şifrelemek için kullandığı AWS KMS anahtarını oluşturma ve döndürme (yeniden şifreleme) sorumluluğunuzu üstlendiğiniz anlamına gelir.
Nasıl çalışır?
-
AWS ile bir anahtar oluşturun. AWS KMS, anahtarınızı yönetmek için kullanılır ve anahtarı bir donanım güvenlik modülünde (HSM) depolar.
-
Webex’e AWS KMS anahtarını AWS konsolu üzerinden kullanma erişimi sağlarsınız.
Bu, CMK’nızı Control Hub’a yüklemek yerine Webex’e AWS KMS anahtarına erişim sağladığınız anlamına gelir. AWS KMS anahtarı AWS KMS’nizi bırakmaz ve Webex hizmetleriniz AWS KMS anahtar materyaline erişemez.
Control Hub, şu anda aktif veya iptal edilmiş AWS KMS anahtarınızı ve AWS KMS’de depolanan bekleyen AWS KMS anahtarınızı gösterir. AWS KMS anahtarını döndürmeniz gerektiğinde, yeni AWS KMS anahtarınızı AWS KMS konsoluyla oluşturursunuz.
-
Ardından, yeni AWS KMS anahtarını Control Hub’a ekleyip etkinleştirerek yeni AWS KMS anahtarının Amazon Kaynak Adı (ARN) ile sağlayabilirsiniz. Webex içerik anahtarlarınızı şifrelemek için hemen yeni AWS KMS anahtarını kullanmaya başlar. Webex artık eski AWS KMS anahtarını gerektirmiyor. Eski AWS KMS anahtarı, içerik şifreleme anahtarlarınız yeni AWS KMS anahtarı tarafından döndürüldükten ve güvence altına alındıktan sonra Control Hub’dan kaybolur. Webex, AWS KMS anahtarını AWS KMS’den silmez. Müşteri yöneticiniz anahtarı AWS KMS’den kaldırabilir.
Anahtar yaşam döngüsü
Anahtar durum tanımları
- Bekliyor
-
Bu durumdaki bir anahtar HSM'de depolanır ancak henüz şifreleme için kullanılmaz. Webex, bu CMK'yı şifreleme için kullanmaz.
Bu durumda yalnızca bir anahtar olabilir. - Etkin
-
Webex şu anda kuruluşunuzun diğer anahtarlarını şifrelemek için bu CMK’yı kullanıyor.
Bu durumda yalnızca bir anahtar olabilir. - Döndürme
-
Webex, geçici olarak bu CMK’yı kullanıyor. Webex’in, daha önce bu anahtar tarafından şifrelenmiş olan verilerinizin ve anahtarlarınızın şifresini çözmek için buna ihtiyacı var. Bu anahtar, döndürme (yeniden şifreleme) tamamlandığında kullanımdan kaldırılır.
Döndürme tamamlanmadan önce yeni bir anahtar etkinleştirilirse birden fazla anahtar bu durumda olabilir. - Kullanımdan çıkarıldı
-
Webex bu CMK’yı kullanmıyor. Bu anahtar artık şifreleme için kullanılmıyor. Bir canlı tutma süresi ayarlanır ve ardından bu anahtar HSM'den kaldırılır.
- İptal edildi
-
Webex bu CMK’yı kullanmıyor. Bu anahtarla şifrelenmiş veri ve anahtarlar olsa bile Webex bunu veri ve anahtarların şifresini çözmek için kullanamaz.
- Etkin bir anahtarı yalnızca güvenliği ihlal edildiğinden şüpheleniyorsanız iptal etmeniz gerekir. Bu ciddi bir karardır çünkü birçok operasyonun düzgün davranmasını önler. Örneğin, yeni alanlar oluşturamazsınız ve Webex Istemcisinde hiçbir içeriğin şifresini çözemezsiniz.
- Bu durumda yalnızca bir anahtar olabilir. Yeni bir anahtarı döndürmek (yeniden şifrelemek) için bu anahtarı yeniden etkinleştirmeniz gerekir.
- Bu CMK silinebilir ancak silmeniz gerekmez. Şüpheli güvenlik ihlalini çözdükten sonra şifre çözme/yeniden şifreleme için saklamak isteyebilirsiniz.
- Silinmiş
-
Webex bu CMK’yı kullanmıyor. Bu durumdaki davranış, Iptal Edildi durumuyla aynıdır. Ancak bir anahtarın canlı kalma süresi ayarlandıktan sonra bu anahtar HSM'den kaldırılır.
- Silinen bir CMK Kaldırıldı durumuna geçerse, işlevselliği kuruluşa geri yüklemek için orijinal anahtarı kurtarmanız gerekir.
- Orijinal anahtarınızın yedek kopyasını saklamanızı öneririz. Aksi takdirde kuruluşunuz artık işlevsel olmayacaktır.
- Kaldırıldı
-
Bu mantıksal bir durumdur. Webex'te, HSM'de depolanan bu CMK yoktur. Control Hub’da görüntülenmez.
Sahiplik
CMK'nızın mülkiyetini alarak şunları yapmanız gerekir:
- Anahtarlarınızın güvenli bir şekilde oluşturulması ve yedeklenmesi için sorumluluk alın
- Anahtarlarınızı kaybetmenin sonuçlarını anlayın
- Etkin CMK’nızı yılda en az bir kez en iyi uygulama olarak yeniden şifreleyin
Anahtar oluşturma
Bu parametreleri kullanarak kendi CMK'nızı oluşturmalısınız. Anahtarınız:
- 256 bit (32 bit) uzun
- RSA-OAEP şemasıyla şifrelenmiştir
- Webex bulut HSM genel anahtarı ile şifrelenmiştir
Anahtar oluşturma yazılımınızın şunları yapabilmesi gerekir:
- SHA-256 özet işlevi
- MGF1 maske oluşturma işlevi
- PKCS#1 OAEP dolgu
Örnek: Bu makaledeki Kaynaklar sekmesinde OpenSSL ile anahtarlar oluşturun ve şifreleyin.
Yetki
Control Hub'da Webex kuruluşunuza erişiminiz olmalıdır. CMK’nızı yönetmek için tam yönetici olmanız gerekir.
| 1 | |
| 2 |
’ne gidin. BYOK'yi etkinleştirmek için Kendi Anahtarını Getir (BYOK) seçeneğini açın. BYOK’yi devre dışı bırakırsanız Webex ortak varsayılan anahtarı kuruluşunuzun ana anahtarı olur. |
| 3 |
Özel anahtar yükle ’yi seçin ve Ileri’ye tıklayın. |
| 4 |
Genel anahtarı indir’e tıklayın. Webex HSM genel anahtarını yerel sisteminizdeki bir .pem dosyasına kaydedin. |
| 5 |
Anahtar yönetim yazılımınızı kullanarak kriptografik olarak güvenli bir 256-bit (32 bayt) rastgele anahtar oluşturun. |
| 6 |
Yeni anahtarınızı şifrelemek için Webex HSM genel anahtarını kullanın. Gerekli şifreleme parametreleri şunlardır:
Örnek: Bu makaledeki Kaynaklar sekmesinde OpenSSL ile anahtarlar oluşturun ve şifreleyin.
|
| 7 |
Şifrelenmiş anahtarı dosya sisteminizden sürükleyin ve Control Hub arayüzünün yükleme alanına bırakın veya Dosya seç’e tıklayın. |
| 8 |
İleri'ye tıklayın. Webex, anahtarınızı şifresinin çözülüp doğrulandığı HSM’ye yükler. Ardından Control Hub size yeni CMK'nızın ve varsa mevcut aktif CMK'nın kimliğini gösterir. Bu ilk CMK’nız ise, şu anda etkin olan anahtar Webex ortak varsayılan anahtarıdır (şu anda kuruluşunuzun anahtarlarını şifrelemek için kullandığımız anahtardır). |
| 9 |
Anahtarınızı nasıl etkinleştirmek istediğinizi seçin:
|
Sonraki işlemler
| 1 | |
| 2 |
’ne gidin. |
| 3 |
Aktif CMK’ya gidin. |
| 4 |
|
| 5 |
Yeni bir anahtar oluşturun ve şifreleyin (henüz yapmadıysanız). Süreç, bu makalede Müşteri ana anahtarınızı oluşturma ve etkinleştirme bölümünde açıklanmaktadır.
|
| 6 |
Yeni anahtarı dosya sisteminizden sürükleyin ve Control Hub’a bırakın. |
| 7 |
Yeni anahtarı etkinleştir’e tıklayın. Yüklediğiniz yeni anahtar Etkin durumuna geçer. Eski CMK, Webex tüm içeriğini yeni Aktif CMK ile şifrelemeyi tamamlayana kadar Rotasyon (Yeniden şifreleme durumu) olarak kalır. Yeniden şifrelemeden sonra anahtar Emekli durumuna geçer. Webex, eski CMK’yı siler. |
öğesine tıklayın ve | 1 | |
| 2 |
’ne gidin. |
| 3 |
Silinmiş anahtara gidin. |
| 4 |
|
| 5 |
Anahtar geri yüklemeyi onaylayın. Geri yüklendikten sonra, Control Hub silinmeden önce anahtarı Iptal durumunda gösterir. Örneğin, iptal edilen bir anahtarı silerseniz ve ardından anahtarı geri yüklerseniz, Control Hub geri yüklenen anahtarı Iptal edildi durumunda gösterir.
|
Sahiplik
AWS KMS anahtarınızın sahipliğini alarak şunları yapmanız gerekir:
- AWS KMS anahtarlarınızın güvenli bir şekilde oluşturulması ve yedeklenmesi için sorumluluk alın.
- AWS KMS anahtarlarınızı kaybetmenin sonuçlarını anlayın.
- Etkin AMS KMS anahtarınızı en iyi uygulama olarak yılda en az bir kez yeniden şifreleyin.
Yetki
- Webex kuruluşunuz için AWS KMS’de anahtarlarınızı oluşturma ve yönetme yetkiniz olmalıdır.
- Control Hub'da Webex kuruluşunuza erişiminiz olmalıdır. AWS KMS anahtarınızı yönetmek için tam yönetici olmanız gerekir.
| 1 |
AWS ’de oturum açın ve AWS KMS konsoluna gidin. |
| 2 |
Müşteri tarafından yönetilen anahtarlar ’ı seçin ve ardından Anahtar oluştur’a tıklayın. |
| 3 |
Anahtarı aşağıdaki özniteliklerle oluşturun:
|
| 4 |
İleri'ye tıklayın. |
| 5 |
Ayarlarınızı gözden geçirin ve Son’a tıklayın. AWS KMS anahtarınız oluşturuldu.
|
| 6 |
Müşteri tarafından yönetilen anahtarlar ’a gidin ve ARN’yi görüntülemek için Takma Ad veya Anahtar Kimliğine tıklayın. |
Sonraki işlemler
ARN'nin geçici bir kopyasını saklamanızı öneririz. Bu ARN, AWS KMS anahtarınızı Control Hub’da eklemek ve etkinleştirmek için kullanılır.
| 1 |
AWS ’de oturum açın ve AWS CloudShell konsoluna gidin. |
| 2 |
Webex’i aşağıdaki şekilde yetkilendirmek için KMS_CISCO_KULLANICI_ARN , kuruluşunuza özeldir. ARN, Control Hub’da yeni AWK KMS anahtarınızı etkinleştirirken AWS anahtarı pencerenizi ekle’de gösterilir. |
Başlamadan önce
Control Hub'da etkinleştirmeden önce bir AWS KMS anahtarı oluşturmanız gerekir. Bu makalede AWS KMS anahtarı oluşturma bölümüne bakın.
Webex’e AWS KMS anahtarına erişim sağlamanız gerekir. Bu makaledeki AWS KMS anahtarına erişim ile Cisco KMS’yi yetkilendirin .
| 1 | |
| 2 |
’ne gidin ve Kendi Anahtarını Getir (BYOK) seçeneğini açın. BYOK’yi devre dışı bırakırsanız Webex ortak varsayılan anahtarı kuruluşunuzun ana anahtarı olur. |
| 3 |
AWS KMS anahtarı ekle ’yi seçin ve Ileri’ye tıklayın. |
| 4 |
AWS konsolundan ARN alın. |
| 5 |
Control Hub’a ARN’yi girin ve Ekle’ye tıklayın. Anahtar ARN’niz, anahtara erişimin doğrulandığı Cisco KMS’ye yüklenir. Ardından Control Hub size yeni AWS KMS anahtarınızın Cisco KMS anahtar kimliğini ve varsa şu anda etkin olan Cisco KMS anahtar kimliğini gösterir. Bu ilk AWS KMS anahtarınız ise, şu anda etkin olan anahtar Webex ortak varsayılan anahtarıdır (şu anda kuruluşunuzun anahtarlarını şifrelemek için kullandığımız anahtardır). |
| 6 |
Anahtarınızı nasıl etkinleştirmek istediğinizi seçin:
|
| 1 |
Control Hub’da oturum açın ve ’ne gidin. |
| 2 |
Etkin AWS KMS anahtarına gidin. |
| 3 |
|
| 4 |
Yeni AWS KMS anahtarınızı ve yeni ARN’nizi girip Ekle’ye tıklayın. Süreç, bu makalede AMS KMS anahtarınızı ekleyin ve etkinleştirin bölümünde açıklanmaktadır.
|
| 5 |
Etkinleştir'e tıklayın. Yüklediğiniz yeni AWS KMS anahtarı Etkin duruma geçer. Eski AWS KMS anahtarı, Webex tüm içeriğini yeni Aktif AWS KMS anahtarıyla şifrelemeyi tamamlayana kadar Döner durumda kalır. Yeniden şifrelemenin ardından eski AWS KMS anahtarı Control Hub’dan otomatik olarak kaybolur. |
| 1 |
Control Hub’da oturum açın ve ’ne gidin. |
| 2 |
Başka bir anahtar ekle’ye tıklayın. |
| 3 |
Yeni AWS KMS anahtarınızı girin ve Ekle’ye tıklayın. Control Hub size yeni AWS KMS anahtarınızın Cisco KMS anahtar kimliğini ve şu anda aktif olan Cisco KMS anahtar kimliğinin kimliğini gösterir. Süreç, bu makalede AMS KMS anahtarınızı ekleyin ve etkinleştirin bölümünde açıklanmaktadır. |
| 4 |
Etkinleştir'e tıklayın. Yüklediğiniz yeni AWS KMS anahtarı Etkin duruma geçer. Eski AWS KMS anahtarı, Webex tüm içeriğini yeni Aktif AWS KMS anahtarıyla şifrelemeyi tamamlayana kadar Döner durumda kalır. Yeniden şifrelemenin ardından eski AWS KMS anahtarı Control Hub’dan otomatik olarak kaybolur. |
| 1 |
Control Hub’da oturum açın ve ’ne gidin. |
| 2 |
Şu anda aktif AWS KMS anahtarına gidin. |
| 3 |
|
| 4 |
Anahtarın iptal edilmesini onaylayın. Anahtarınızın tamamen iptal edilmesi 10 dakikaya kadar sürebilir. AWS KMS anahtarı Yerel olarak iptal edilmiş duruma geçer.
|
Müşteri yöneticiniz anahtarı AWS KMS konsolundan iptal ederse AWS KMS anahtarı Control Hub'daki Amazon Tarafından Iptal Edildi durumunda gösterilir.
| 1 |
Control Hub’da oturum açın ve ’ne gidin. |
| 2 |
Iptal edilen AWS KMS anahtarına gidin. |
| 3 |
|
| 4 |
Anahtar silme işlemini onaylayın. Silindikten sonra, anahtarı 30 gün içinde kurtarabilirsiniz. |
CMK'nızı AWS konsolundan silmeden önce AWS KMS anahtarını Control Hub'dan silmenizi öneririz. Control Hub'daki AWS KMS anahtarını silmeden önce CMK'nızı AWS konsolundan silerseniz sorunlarla karşılaşabilirsiniz.
CMK’nızı AWS konsolundan silmeden önce AWS KMS anahtarının Control Hub’da artık görünmediğinden emin olun.
| 1 |
Control Hub’da oturum açın ve ’ne gidin. |
| 2 |
Silinen AWS KMS anahtarına gidin. |
| 3 |
|
| 4 |
Anahtar geri yüklemeyi onaylayın. Geri yüklendikten sonra, Control Hub Iptal durumunda anahtarı gösterir. |
AWS KMS anahtarınızla ilgili sorunlarla karşılaşırsanız sorun gidermek için aşağıdaki bilgileri kullanın.
-
AWS KMS anahtar ARN. Örneğin,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
AWS KMS anahtar durumu. Örneğin, AWS KMS anahtarı devre dışı bırakılır.
Bu örnek, OpenSSL komut satırı araçları için 3.0 sürümünü kullanır. Bu araçlar hakkında daha fazla bilgi için bkz. OpenSSL .
| 1 | |
| 2 |
’ne gidin. |
| 3 |
Genel anahtarı indir’e tıklayın. Webex HSM genel anahtarını yerel sisteminizdeki .pem dosyasında alırsınız. |
| 4 |
256-bit (32 bayt) anahtar oluşturun: Örnek, şifrelenmemiş yeni anahtarınız için main_key.bin dosya adını kullanır. Alternatif olarak, Hex dökümü, Python veya çevrimiçi jeneratörleri kullanarak 32 baytlık rastgele bir değer oluşturabilirsiniz. Ayrıca AWS KMS anahtarınızı oluşturabilir ve yönetebilirsiniz. |
| 5 |
Yeni anahtarınızı şifrelemek için Webex HSM genel anahtarını kullanın: Örnekte şifreli çıktı anahtarı için main_key_encrypted.bin dosya adı ve Webex genel anahtarı için path/to/public.pem dosya adı kullanılır. Şifreli anahtar, Control Hub’a yüklemeniz için hazır. |
