Webex за замовчуванням безпечний, і ми зберігаємо головний ключ для шифрування всіх ключів шифрування вашої організації. Якщо ви віддаєте перевагу контролювати головний ключ вашої організації, ви можете зробити це за допомогою Control Hub і ваших бажаних інструментів управління ключами.
Як частина нашого зобов 'язання щодо наскрізної безпеки, Webex має головний ключ від імені кожної організації. Ми називаємо його головним ключем, оскільки він не шифрує вміст безпосередньо, але він використовується для шифрування інших ключів вашої організації, які шифрують вміст. Базовий рівень ієрархії ключів називається ключем вмісту (CK), а проміжні рівні ключів називаються ключами шифрування ключів (KEK).
Ми розуміємо, що деякі організації вважають за краще керувати власною безпекою, тому ми надаємо вам можливість керувати власним ключем клієнта (CMK). Це означає, що ви несете відповідальність за створення та чергування (повторне шифрування) головного ключа, який Webex використовує для шифрування ключів шифрування вашого контенту.
У подальшому ключ відноситься до CMK, якщо не вказано інше.
Як це працює
Webex зберігає ваш CMK в апаратному модулі безпеки (HSM), щоб сервіси Webex не мали доступу до значення CMK.
Концентратор керування показує ваш поточний активний або відкликаний CMK та будь-які очікувані CMK, які зберігаються в HSM. Коли вам потрібно повернути (перешифрувати) CMK, ви створюєте новий CMK і шифруєте його за допомогою відкритого ключа HSM, щоб лише HSM міг розшифрувати та зберегти його.
Потім ви завантажуєте та активуєте новий CMK в Control Hub. Webex негайно починає використовувати новий CMK для шифрування ваших ключів вмісту. Webex зберігає старий CMK, але тільки до тих пір, поки він не буде впевнений, що ваші ключі шифрування контенту захищені новим CMK.
Ми не шифруємо заднім числом весь наявний контент. Після активації CMK весь новий контент (простори та наради) буде повторно зашифровано та захищено. |
Ми розуміємо, що деякі організації вважають за краще керувати власним ключем за межами Webex. Ось чому ми надаємо вам можливість керувати власним CMK у службі керування ключами (KMS) Amazon Web Services (AWS). Це означає, що ви несете відповідальність за керування своїми ключами в AWS KMS. Ви дозволяєте Webex шифрувати й дешифрувати за допомогою ключа AWS KMS через консоль AWS. Ви надаєте Webex ідентифікатор ключа AWS KMS замість CMK. Це означає, що ви несете відповідальність за створення та чергування (повторне шифрування) ключа AWS KMS, який Webex використовує для шифрування ключів шифрування вашого контенту в хмарі.
Як це працює
Ви створюєте ключ за допомогою AWS. AWS KMS використовується для керування вашим ключем і зберігає ключ у апаратному модулі безпеки (HSM).
Ви надаєте Webex доступ до використання ключа AWS KMS через консоль AWS.
Це означає, що замість передавання CMK до Control Hub ви надаєте Webex доступ до ключа AWS KMS. Ключ AWS KMS не залишає вашу AWS KMS, а служби Webex не матимуть доступу до матеріалу ключа AWS KMS.
Control Hub показує ваш наразі активний або відкликаний ключ AWS KMS і всі ключі AWS KMS, що очікують, що зберігаються в AWS KMS. Якщо потрібно змінити ключ AWS KMS, ви створюєте новий ключ AWS KMS за допомогою консолі AWS KMS.
Потім ви додаєте та активуєте новий ключ AWS KMS в Control Hub, надавши йому ім’я ресурсу Amazon (ARN) нового ключа AWS KMS. Webex негайно починає використовувати новий ключ AWS KMS для шифрування ключів контенту. Webex більше не вимагає старого ключа AWS KMS. Старий ключ AWS KMS зникне з Control Hub після того, як ваші ключі шифрування контенту будуть змінені та захищені новим ключем AWS KMS. Webex не видаляє ключ AWS KMS з AWS KMS. Адміністратор клієнта може видалити ключ із AWS KMS.
Ключовий життєвий цикл
Визначення ключових станів
- Очікування
-
Ключ у цьому стані зберігається в HSM, але він ще не використовується для шифрування. Webex не використовує цей CMK для шифрування.
У цьому стані може бути тільки один ключ. - Активний
-
Наразі Webex використовує цей CMK для шифрування інших ключів для вашої організації.
У цьому стані може бути тільки один ключ. - Обертання
-
Webex тимчасово використовує цей CMK. Webex потребує його для розшифрування ваших даних і ключів, які раніше були зашифровані цим ключем. Цей ключ припиняється після завершення чергування (повторного шифрування).
Кілька клавіш можуть перебувати в цьому стані, якщо новий ключ активовано до завершення обертання. - На пенсії
-
Webex не використовує цей CMK. Цей ключ більше не використовується для шифрування. Встановлюється ключ time-to-live, після чого цей ключ видаляється з HSM.
- Відкликано
-
Webex не використовує цей CMK. Навіть якщо є дані і ключі, які були зашифровані за допомогою цього ключа, Webex не може використовувати його для розшифрування даних і ключів.
- Вам потрібно лише відкликати активний ключ, якщо ви підозрюєте, що він скомпрометований. Це серйозне рішення, оскільки воно заважає багатьом операціям вести себе належним чином. Наприклад, ви не зможете створювати нові простори і не зможете розшифрувати будь-який вміст у клієнті Webex.
- У цьому стані може бути тільки один ключ. Необхідно повторно активувати цей ключ, щоб змінити (повторно зашифрувати) новий ключ.
- Цей CMK можна видалити, але вам не потрібно видаляти його. Ви можете зберегти його для розшифрування або повторного шифрування після усунення ймовірного порушення безпеки.
- Видалено
-
Webex не використовує цей CMK. Поведінка в цьому стані така ж, як і у відкликаному стані, за винятком того, що встановлюється ключовий час життя, після чого цей ключ видаляється з HSM.
- Якщо видалений CMK переходить у стан Видалений, необхідно відновити оригінальний ключ, щоб відновити функціональність організації.
- Ми рекомендуємо зберегти резервну копію оригінального ключа, інакше ваша організація більше не буде функціонувати.
- Видалено
-
Це логічний стан. Webex не має цього CMK, що зберігається в HSM. Він не відображається в Control Hub.
Право власності
Приймаючи право власності на свій CMK, ви повинні:
- Прийміть відповідальність за безпечне створення та резервне копіювання ваших ключів
- Зрозумійте наслідки втрати ключів
- Рекомендовано повторно шифрувати активний CMK принаймні раз на рік
Створення ключа
Ви повинні створити свій власний CMK, використовуючи ці параметри. Ваш ключ повинен бути:
- 256 біт (32 байта) довжиною
- Зашифровано за допомогою схеми RSA-OAEP
- Зашифровано за допомогою відкритого ключа Webex Cloud HSM
Ваше програмне забезпечення для генерації ключів повинно бути здатним:
- Хеш-функція SHA-256
- Функція генерації маски MGF1
- Відступ OAEP PKCS#1
Див. Приклад: Створюйте та шифруйте ключі за допомогою OpenSSL на вкладці Ресурси в цій статті.
Авторизація
Ви повинні мати доступ до своєї організації Webex в Control Hub. Ви повинні бути повним адміністратором, щоб керувати CMK.
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань .Щоб увімкнути BYOK, увімкніть Bring Your Own Key (BYOK). Якщо ви вимкнете BYOK, загальний ключ за замовчуванням Webex стане основним ключем для вашої організації. |
3. | Виберіть Передайте користувацький ключ і клацніть Далі . |
4. | Натисніть Завантажити відкритий ключ. Збережіть відкритий ключ Webex HSM у файлі .pem у вашій локальній системі. |
5. | Створіть криптографічно захищений 256-бітний (32-байтовий) випадковий ключ за допомогою програмного забезпечення для керування ключами. |
6. | Використовуйте відкритий ключ Webex HSM для шифрування нового ключа. Необхідні параметри шифрування:
Див. Приклад: Створюйте та шифруйте ключі за допомогою OpenSSL на вкладці Ресурси в цій статті.
|
7. | Перетягніть зашифрований ключ з файлової системи та відпустіть його в область завантаження інтерфейсу Центру керування або натисніть Вибрати файл. |
8 | Клацніть Далі. Webex завантажує ваш ключ в HSM, де він розшифровується і перевіряється. Потім Control Hub показує вам ідентифікатор вашого нового CMK та ідентифікатор поточного активного CMK, якщо такий є. Якщо це ваш перший CMK, поточним активним ключем є загальний ключ за замовчуванням Webex (той, який ми зараз використовуємо для шифрування ключів вашої організації). |
9 | Виберіть спосіб активації ключа:
|
Що далі
Ми не шифруємо заднім числом весь наявний контент. Після активації CMK весь новий контент (простори та наради) буде повторно зашифровано та захищено. |
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань . |
3. | Перейдіть до активного CMK. |
4. | Клацнітьі виберіть Повернути . |
5. | Створіть і зашифруйте новий ключ (якщо ви ще цього не зробили). Цей процес описано в статті Створення та активація головного ключа клієнта в цій статті.
|
6. | Перетягніть новий ключ із файлової системи та перетягніть його в Control Hub. |
7. | Натисніть кнопку Активувати новий ключ. Новий ключ, який ви завантажили, переходить в активний стан. Старий CMK залишається в режимі чергування (стан повторного шифрування), доки Webex не завершить шифрування всього свого контенту за допомогою нового Active CMK. Після повторного шифрування ключ переходить у стан "Вилучено". Потім Webex видаляє старий CMK. |
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань . |
3. | Перейдіть до активного ключа. |
4. | Клацнітьі виберіть Відкликати . |
5. | Підтвердьте відкликання ключа. Повне відкликання ключа може тривати до 10 хвилин.
|
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань . |
3. | Перейдіть до поточного відкликаного ключа. |
4. | Клацнітьі виберіть Активувати . |
5. | Підтвердьте активацію ключа. Раніше відкликаний ключ переходить в активний стан.
|
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань . |
3. | Перейдіть до відкликаного ключа. |
4. | Клацнітьі виберіть Видалити . |
5. | Підтвердьте видалення ключа. Після видалення ви можете відновити ключ протягом 30 днів.
|
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань . |
3. | Перейдіть до видаленого ключа. |
4. | Клацнітьі виберіть Скасувати видалення . |
5. | Підтвердьте відновлення ключа. Після відновлення Control Hub показує ключ у стані «Відкликано» до того, як його було видалено. Наприклад, якщо видалити відкликаний ключ, а потім відновити ключ, Control Hub відобразить відновлений ключ у стані «Відкликано».
|
Право власності
Приймаючи право власності на ключ AWS KMS, ви повинні:
- Прийміть на себе відповідальність за безпечне створення та резервне копіювання ключів AWS KMS.
- Зрозумійте наслідки втрати ключів AWS KMS.
- Рекомендовано повторно шифрувати активний ключ AMS KMS принаймні раз на рік.
Авторизація
- Ви повинні бути авторизовані, щоб створювати ключі та керувати ними в AWS KMS для вашої організації Webex.
- Ви повинні мати доступ до своєї організації Webex в Control Hub. Ви повинні бути повний адміністратор щоб керувати ключем AWS KMS.
1. | Увійти в AWS і перейдіть на консоль AWS KMS. |
2. | Виберіть Ключі, керовані клієнтом а потім клацніть Створити ключ . |
3. | Створіть ключ із такими атрибутами:
|
4. | Клацніть Далі. |
5. | Перевірте налаштування й клацніть Завершити . Ключ AWS KMS створено.
|
6. | Перейти до Ключі, керовані клієнтом і клацніть псевдонім або ідентифікатор ключа, щоб переглянути ARN. |
Що далі
Ми рекомендуємо зберегти тимчасову копію ARN. Цей ARN використовується для додавання та активації ключа AWS KMS у Control Hub.
1. | Увійти в AWS і перейдіть на консоль AWS CloudShell. | ||
2. | Виконайте команду Наприклад:
|
Перш ніж почати
Необхідно створити ключ AWS KMS, перш ніж активувати його в Control Hub. Див Створіть ключ AWS KMS в цій статті.
Необхідно надати Webex доступ до ключа AWS KMS. Див Авторизуйте Cisco KMS з доступом до ключа AWS KMS в цій статті.
1. | Увійдіть в Control Hub. |
2. | Перейти до Принесіть власний ключ (BYOK) увімкнено. , і перемикачЯкщо ви вимкнете BYOK, загальний ключ за замовчуванням Webex стане основним ключем для вашої організації. |
3. | Виберіть Додати ключ AWS KMS і клацніть Далі . |
4. | Отримайте ARN з консолі AWS. |
5. | Введіть ARN в Control Hub і клацніть Додати . ARN ключа передається до Cisco KMS, де перевіряється доступ до ключа. Потім Control Hub показує ідентифікатор ключа Cisco KMS нового ключа AWS KMS і активний ідентифікатор ключа Cisco KMS, якщо є. Якщо це ваш перший ключ AWS KMS, наразі активним ключем буде Загальний ключ Webex за замовчуванням (наразі ми використовуємо для шифрування ключів вашої організації). |
6. | Виберіть спосіб активації ключа:
|
1. | Увійти в Control Hub , і перейдіть до . |
2. | Перейдіть до активного ключа AWS KMS. |
3. | Клацнітьі виберіть Повернути . |
4. | Введіть новий ключ AWS KMS і новий ARN і клацніть Додати . Процес описано в Додайте та активуйте ключ AMS KMS в цій статті.
|
5. | Клацніть Активувати . Новий ключ AWS KMS, який ви передали, переходить у стан «Активний». Старий ключ AWS KMS залишається в стані чергування, доки Webex не завершить шифрування всього свого контенту за допомогою нового активного ключа AWS KMS. Після повторного шифрування старий ключ AWS KMS автоматично зникає з Control Hub. |
1. | Увійти в Control Hub , і перейдіть до . |
2. | Клацніть Додайте інший ключ . |
3. | Введіть новий ключ AWS KMS і клацніть Додати . Control Hub показує ідентифікатор ключа Cisco KMS нового ключа AWS KMS та ідентифікатор активного ідентифікатора ключа Cisco KMS. Процес описано в Додайте та активуйте ключ AMS KMS в цій статті. |
4. | Клацніть Активувати . Новий ключ AWS KMS, який ви передали, переходить у стан «Активний». Старий ключ AWS KMS залишається в стані чергування, доки Webex не завершить шифрування всього свого контенту за допомогою нового активного ключа AWS KMS. Після повторного шифрування старий ключ AWS KMS автоматично зникає з Control Hub. |
1. | Увійти в Control Hub , і перейдіть до . |
2. | Перейдіть до поточного активного ключа AWS KMS. |
3. | Клацнітьі виберіть Локальне відкликання . |
4. | Підтвердьте відкликання ключа. Повне відкликання ключа може тривати до 10 хвилин. Ключ AWS KMS переходить у стан локально відкликаного.
|
Якщо адміністратор клієнта відкликає ключ із консолі AWS KMS, ключ AWS KMS відображатиметься в стані «Відкликано Amazon» у Control Hub. |
1. | Увійти в Control Hub , і перейдіть до . |
2. | Перейдіть до відкликаного ключа AWS KMS. |
3. | Клацнітьі виберіть Видалити . |
4. | Підтвердьте видалення ключа. Після видалення ви можете відновити ключ протягом 30 днів. |
Рекомендовано спочатку видалити ключ AWS KMS з Control Hub, а потім видалити CMK з консолі AWS. Якщо видалити CMK з консолі AWS, перш ніж видалити ключ AWS KMS в Control Hub, можуть виникнути проблеми. Переконайтеся, що ключ AWS KMS більше не відображається в Control Hub, перш ніж видалити CMK з консолі AWS. |
1. | Увійти в Control Hub , і перейдіть до . |
2. | Перейдіть до видаленого ключа AWS KMS. |
3. | Клацнітьі виберіть Скасувати видалення . |
4. | Підтвердьте відновлення ключа. Після відновлення Control Hub показує ключ у стані «Відкликано». |
Якщо у вас виникли проблеми з ключем AWS KMS, скористайтеся наведеною далі інформацією для усунення несправностей.
Ключ ARN AWS KMS. Наприклад:
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
.Стан ключа AWS KMS. Наприклад, ключ AWS KMS вимкнено.
У цьому прикладі використовується версія 3.0 інструментів командного рядка OpenSSL. Перегляньте OpenSSL для отримання додаткової інформації про ці інструменти.
1. | Увійдіть в Control Hub. |
2. | Перейдіть до налаштувань . |
3. | Натисніть Завантажити відкритий ключ. Ви отримуєте відкритий ключ Webex HSM у файлі .pem у вашій локальній системі. |
4. | Створіть 256-бітний (32-байтовий) ключ: У прикладі використовується ім 'я файлу main_key.bin для незашифрованого нового ключа. Крім того, можна створити 32-байтове випадкове значення за допомогою шістнадцяткового дампа, Python або онлайн-генераторів. Ви також можете створювати ключ AWS KMS і керувати ним . |
5. | Використовуйте відкритий ключ Webex HSM для шифрування нового ключа:
У прикладі використовується ім 'я файлу main_key_encrypted.bin для зашифрованого ключа виводу та шлях до файлу/to/public.pem для відкритого ключа Webex. Зашифрований ключ готовий для завантаження в Центр керування. |