Керуйте власним ключем клієнта

Про головні ключі клієнта

Як частина нашого зобов 'язання щодо наскрізної безпеки, Webex має головний ключ від імені кожної організації. Ми називаємо його головним ключем, оскільки він не шифрує вміст безпосередньо, але він використовується для шифрування інших ключів вашої організації, які шифрують вміст. Базовий рівень ієрархії ключів називається ключем вмісту (CK), а проміжні рівні ключів називаються ключами шифрування ключів (KEK).

Ми розуміємо, що деякі організації вважають за краще керувати власною безпекою, тому ми надаємо вам можливість керувати власним ключем клієнта (CMK). Це означає, що ви несете відповідальність за створення та чергування (повторне шифрування) головного ключа, який Webex використовує для шифрування ключів шифрування вашого контенту.

У подальшому ключ відноситься до CMK, якщо не вказано інше.

Як це працює

Webex зберігає ваш CMK в апаратному модулі безпеки (HSM), щоб сервіси Webex не мали доступу до значення CMK.
Концентратор керування показує ваш поточний активний або відкликаний CMK та будь-які очікувані CMK, які зберігаються в HSM. Коли вам потрібно повернути (перешифрувати) CMK, ви створюєте новий CMK і шифруєте його за допомогою відкритого ключа HSM, щоб лише HSM міг розшифрувати та зберегти його.
Потім ви завантажуєте та активуєте новий CMK в Control Hub. Webex негайно починає використовувати новий CMK для шифрування ваших ключів вмісту. Webex зберігає старий CMK, але тільки до тих пір, поки він не буде впевнений, що ваші ключі шифрування контенту захищені новим CMK.

Ми не шифруємо заднім числом весь наявний контент. Після активації CMK весь новий контент (простори та наради) буде повторно зашифровано та захищено.

Інформація про ключі AWS KMS

Ми розуміємо, що деякі організації вважають за краще керувати власним ключем за межами Webex. Ось чому ми надаємо вам можливість керувати власним CMK у службі керування ключами (KMS) Amazon Web Services (AWS). Це означає, що ви несете відповідальність за керування своїми ключами в AWS KMS. Ви дозволяєте Webex шифрувати й дешифрувати за допомогою ключа AWS KMS через консоль AWS. Ви надаєте Webex ідентифікатор ключа AWS KMS замість CMK. Це означає, що ви несете відповідальність за створення та чергування (повторне шифрування) ключа AWS KMS, який Webex використовує для шифрування ключів шифрування вашого контенту в хмарі.

Як це працює

Ви створюєте ключ за допомогою AWS. AWS KMS використовується для керування вашим ключем і зберігає ключ у апаратному модулі безпеки (HSM).
Ви надаєте Webex доступ до використання ключа AWS KMS через консоль AWS.

Це означає, що замість передавання CMK до Control Hub ви надаєте Webex доступ до ключа AWS KMS. Ключ AWS KMS не залишає вашу AWS KMS, а служби Webex не матимуть доступу до матеріалу ключа AWS KMS.

Control Hub показує ваш наразі активний або відкликаний ключ AWS KMS і всі ключі AWS KMS, що очікують, що зберігаються в AWS KMS. Якщо потрібно змінити ключ AWS KMS, ви створюєте новий ключ AWS KMS за допомогою консолі AWS KMS.
Потім ви додаєте та активуєте новий ключ AWS KMS в Control Hub, надавши йому ім’я ресурсу Amazon (ARN) нового ключа AWS KMS. Webex негайно починає використовувати новий ключ AWS KMS для шифрування ключів контенту. Webex більше не вимагає старого ключа AWS KMS. Старий ключ AWS KMS зникне з Control Hub після того, як ваші ключі шифрування контенту будуть змінені та захищені новим ключем AWS KMS. Webex не видаляє ключ AWS KMS з AWS KMS. Адміністратор клієнта може видалити ключ із AWS KMS.

Ключові стани та життєвий цикл

Ключовий життєвий цикл

Визначення ключових станів

Очікування

Ключ у цьому стані зберігається в HSM, але він ще не використовується для шифрування. Webex не використовує цей CMK для шифрування.

У цьому стані може бути тільки один ключ.

Активний

Наразі Webex використовує цей CMK для шифрування інших ключів для вашої організації.

У цьому стані може бути тільки один ключ.

Обертання

Webex тимчасово використовує цей CMK. Webex потребує його для розшифрування ваших даних і ключів, які раніше були зашифровані цим ключем. Цей ключ припиняється після завершення чергування (повторного шифрування).

Кілька клавіш можуть перебувати в цьому стані, якщо новий ключ активовано до завершення обертання.

На пенсії

Webex не використовує цей CMK. Цей ключ більше не використовується для шифрування. Встановлюється ключ time-to-live, після чого цей ключ видаляється з HSM.

Відкликано

Webex не використовує цей CMK. Навіть якщо є дані і ключі, які були зашифровані за допомогою цього ключа, Webex не може використовувати його для розшифрування даних і ключів.

Вам потрібно лише відкликати активний ключ, якщо ви підозрюєте, що він скомпрометований. Це серйозне рішення, оскільки воно заважає багатьом операціям вести себе належним чином. Наприклад, ви не зможете створювати нові простори і не зможете розшифрувати будь-який вміст у клієнті Webex.
У цьому стані може бути тільки один ключ. Необхідно повторно активувати цей ключ, щоб змінити (повторно зашифрувати) новий ключ.
Цей CMK можна видалити, але вам не потрібно видаляти його. Ви можете зберегти його для розшифрування або повторного шифрування після усунення ймовірного порушення безпеки.

Видалено

Webex не використовує цей CMK. Поведінка в цьому стані така ж, як і у відкликаному стані, за винятком того, що встановлюється ключовий час життя, після чого цей ключ видаляється з HSM.

Якщо видалений CMK переходить у стан Видалений, необхідно відновити оригінальний ключ, щоб відновити функціональність організації.

Ми рекомендуємо зберегти резервну копію оригінального ключа, інакше ваша організація більше не буде функціонувати.

Видалено

Це логічний стан. Webex не має цього CMK, що зберігається в HSM. Він не відображається в Control Hub.

Вимоги

Право власності

Приймаючи право власності на свій CMK, ви повинні:

Прийміть відповідальність за безпечне створення та резервне копіювання ваших ключів
Зрозумійте наслідки втрати ключів
Рекомендовано повторно шифрувати активний CMK принаймні раз на рік

Створення ключа

Ви повинні створити свій власний CMK, використовуючи ці параметри. Ваш ключ повинен бути:

256 біт (32 байта) довжиною
Зашифровано за допомогою схеми RSA-OAEP
Зашифровано за допомогою відкритого ключа Webex Cloud HSM

Ваше програмне забезпечення для генерації ключів повинно бути здатним:

Хеш-функція SHA-256
Функція генерації маски MGF1
Відступ OAEP PKCS#1

Див. Приклад: Створюйте та шифруйте ключі за допомогою OpenSSL на вкладці Ресурси в цій статті.

Авторизація

Ви повинні мати доступ до своєї організації Webex в Control Hub. Ви повинні бути повним адміністратором, щоб керувати CMK.

Створіть та активуйте головний ключ клієнта

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами. Щоб увімкнути BYOK, увімкніть Bring Your Own Key (BYOK). Якщо ви вимкнете BYOK, загальний ключ за замовчуванням Webex стане основним ключем для вашої організації.
3.	Виберіть Передайте користувацький ключ і клацніть Далі .
4.	Натисніть Завантажити відкритий ключ. Збережіть відкритий ключ Webex HSM у файлі .pem у вашій локальній системі.
5.	Створіть криптографічно захищений 256-бітний (32-байтовий) випадковий ключ за допомогою програмного забезпечення для керування ключами.
6.	Використовуйте відкритий ключ Webex HSM для шифрування нового ключа. Необхідні параметри шифрування: Схема RSA-OAEP Хеш-функція SHA-256 Функція генерації маски MGF1 Відступ OAEP PKCS#1 Див. Приклад: Створюйте та шифруйте ключі за допомогою OpenSSL на вкладці Ресурси в цій статті.
7.	Перетягніть зашифрований ключ з файлової системи та відпустіть його в область завантаження інтерфейсу Центру керування або натисніть Вибрати файл.
8	Клацніть Далі. Webex завантажує ваш ключ в HSM, де він розшифровується і перевіряється. Потім Control Hub показує вам ідентифікатор вашого нового CMK та ідентифікатор поточного активного CMK, якщо такий є. Якщо це ваш перший CMK, поточним активним ключем є загальний ключ за замовчуванням Webex (той, який ми зараз використовуємо для шифрування ключів вашої організації).
9	Виберіть спосіб активації ключа: Активувати новий ключ: Новий CMK відразу переходить в активний стан. Раніше активний CMK переходить у режим чергування (стан повторного шифрування), доки весь ваш контент не буде захищено новим CMK, після чого Webex видаляє раніше активний CMK. Активувати пізніше: Новий CMK переходить у стан очікування. Webex зберігає цей CMK в HSM, але ще не використовує його. Webex продовжує використовувати поточний активний CMK для шифрування ключів вашої організації.

Що далі

Поверніть ключ

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами.
3.	Перейдіть до активного CMK.
4.	Клацніть і виберіть Повернути .
5.	Створіть і зашифруйте новий ключ (якщо ви ще цього не зробили). Цей процес описано в статті Створення та активація головного ключа клієнта в цій статті.
6.	Перетягніть новий ключ із файлової системи та перетягніть його в Control Hub.
7.	Натисніть кнопку Активувати новий ключ. Новий ключ, який ви завантажили, переходить в активний стан. Старий CMK залишається в режимі чергування (стан повторного шифрування), доки Webex не завершить шифрування всього свого контенту за допомогою нового Active CMK. Після повторного шифрування ключ переходить у стан "Вилучено". Потім Webex видаляє старий CMK.

Відкликати ключ

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами.
3.	Перейдіть до активного ключа.
4.	Клацніть і виберіть Відкликати .
5.	Підтвердьте відкликання ключа. Повне відкликання ключа може тривати до 10 хвилин.

Повторна активація відкликаного ключа

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами.
3.	Перейдіть до поточного відкликаного ключа.
4.	Клацніть і виберіть Активувати .
5.	Підтвердьте активацію ключа. Раніше відкликаний ключ переходить в активний стан.

Видалити відкликаний ключ

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами.
3.	Перейдіть до відкликаного ключа.
4.	Клацніть і виберіть Видалити .
5.	Підтвердьте видалення ключа. Після видалення ви можете відновити ключ протягом 30 днів.

Відновіть відкликаний ключ

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами.
3.	Перейдіть до видаленого ключа.
4.	Клацніть і виберіть Скасувати видалення .
5.	Підтвердьте відновлення ключа. Після відновлення Control Hub показує ключ у стані «Відкликано» до того, як його було видалено. Наприклад, якщо видалити відкликаний ключ, а потім відновити ключ, Control Hub відобразить відновлений ключ у стані «Відкликано».

Вимоги

Право власності

Приймаючи право власності на ключ AWS KMS, ви повинні:

Прийміть на себе відповідальність за безпечне створення та резервне копіювання ключів AWS KMS.
Зрозумійте наслідки втрати ключів AWS KMS.
Рекомендовано повторно шифрувати активний ключ AMS KMS принаймні раз на рік.

Авторизація

Ви повинні бути авторизовані, щоб створювати ключі та керувати ними в AWS KMS для вашої організації Webex.
Ви повинні мати доступ до своєї організації Webex в Control Hub. Ви повинні бути повний адміністратор щоб керувати ключем AWS KMS.

Створіть ключ AWS KMS

1.	Увійти в AWS і перейдіть на консоль AWS KMS.
2.	Виберіть Ключі, керовані клієнтом а потім клацніть Створити ключ .
3.	Створіть ключ із такими атрибутами: Тип ключа — виберіть Симетричний . Використання клавіш — виберіть Шифрування та дешифрування . Мітки — введіть псевдонім, опис і теги. Ключові адміністратори — виберіть користувачів і ролі ключових адміністраторів вашої організації. Видалення ключа — перевірити Дозволити адміністраторам ключів видалити цей ключ . Ключові користувачі: виберіть ключових користувачів і ролі вашої організації.
4.	Клацніть Далі.
5.	Перевірте налаштування й клацніть Завершити . Ключ AWS KMS створено.
6.	Перейти до Ключі, керовані клієнтом і клацніть псевдонім або ідентифікатор ключа, щоб переглянути ARN.

Що далі

Ми рекомендуємо зберегти тимчасову копію ARN. Цей ARN використовується для додавання та активації ключа AWS KMS у Control Hub.

Авторизуйте Cisco KMS з доступом до ключа AWS KMS

Увійти в AWS і перейдіть на консоль AWS CloudShell.

Виконайте команду create-grant авторизувати Webex таким чином:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Наприклад:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Нараду KMS_CISCO_USER_ARN є специфічним для вашої організації. ARN відображається у вікні «Додати ключ AWS» під час активації нового ключа AWK KMS у Control Hub.

Додайте та активуйте ключ AWS KMS

Перш ніж почати

Необхідно створити ключ AWS KMS, перш ніж активувати його в Control Hub. Див Створіть ключ AWS KMS в цій статті.

Необхідно надати Webex доступ до ключа AWS KMS. Див Авторизуйте Cisco KMS з доступом до ключа AWS KMS в цій статті.

1.	Увійдіть в Control Hub.
2.	Перейти до Налаштування організації > Керування ключами , і перемикач Принесіть власний ключ (BYOK) увімкнено. Якщо ви вимкнете BYOK, загальний ключ за замовчуванням Webex стане основним ключем для вашої організації.
3.	Виберіть Додати ключ AWS KMS і клацніть Далі .
4.	Отримайте ARN з консолі AWS.
5.	Введіть ARN в Control Hub і клацніть Додати . ARN ключа передається до Cisco KMS, де перевіряється доступ до ключа. Потім Control Hub показує ідентифікатор ключа Cisco KMS нового ключа AWS KMS і активний ідентифікатор ключа Cisco KMS, якщо є. Якщо це ваш перший ключ AWS KMS, наразі активним ключем буде Загальний ключ Webex за замовчуванням (наразі ми використовуємо для шифрування ключів вашої організації).
6.	Виберіть спосіб активації ключа: Активувати : Новий ключ AWS KMS негайно переходить у активний стан. Активувати пізніше: Новий ключ AWS KMS перейде в стан «Очікування». Webex зберігає цей ключ ARN AWS KMS в Cisco KMS, але поки що не використовує його. Webex продовжує використовувати активний наразі ключ AWS KMS для шифрування ключів вашої організації.

Змініть ключ AWS KMS

1.	Увійти в Control Hub , і перейдіть до Налаштування організації > Керування ключами .
2.	Перейдіть до активного ключа AWS KMS.
3.	Клацніть і виберіть Повернути .
4.	Введіть новий ключ AWS KMS і новий ARN і клацніть Додати . Процес описано в Додайте та активуйте ключ AMS KMS в цій статті.
5.	Натисніть Активувати . Новий ключ AWS KMS, який ви передали, переходить у стан «Активний». Старий ключ AWS KMS залишається в стані чергування, доки Webex не завершить шифрування всього свого контенту за допомогою нового активного ключа AWS KMS. Після повторного шифрування старий ключ AWS KMS автоматично зникає з Control Hub.

Поверніть, щоб додати інший ключ AWS KMS (необов’язково)

1.	Увійти в Control Hub , і перейдіть до Налаштування організації > Керування ключами .
2.	Клацніть Додайте інший ключ .
3.	Введіть новий ключ AWS KMS і клацніть Додати . Control Hub показує ідентифікатор ключа Cisco KMS нового ключа AWS KMS та ідентифікатор активного ідентифікатора ключа Cisco KMS. Процес описано в Додайте та активуйте ключ AMS KMS в цій статті.
4.	Натисніть Активувати . Новий ключ AWS KMS, який ви передали, переходить у стан «Активний». Старий ключ AWS KMS залишається в стані чергування, доки Webex не завершить шифрування всього свого контенту за допомогою нового активного ключа AWS KMS. Після повторного шифрування старий ключ AWS KMS автоматично зникає з Control Hub.

Відкликайте ключ AWS KMS

1.	Увійти в Control Hub , і перейдіть до Налаштування організації > Керування ключами .
2.	Перейдіть до поточного активного ключа AWS KMS.
3.	Клацніть і виберіть Локальне відкликання .
4.	Підтвердьте відкликання ключа. Повне відкликання ключа може тривати до 10 хвилин. Ключ AWS KMS переходить у стан локально відкликаного.

Якщо адміністратор клієнта відкликає ключ із консолі AWS KMS, ключ AWS KMS відображатиметься в стані «Відкликано Amazon» у Control Hub.

Видаліть ключ AWS KMS

1.	Увійти в Control Hub , і перейдіть до Налаштування організації > Керування ключами .
2.	Перейдіть до відкликаного ключа AWS KMS.
3.	Клацніть і виберіть Видалити .
4.	Підтвердьте видалення ключа. Після видалення ви можете відновити ключ протягом 30 днів.

Рекомендовано спочатку видалити ключ AWS KMS з Control Hub, а потім видалити CMK з консолі AWS. Якщо видалити CMK з консолі AWS, перш ніж видалити ключ AWS KMS в Control Hub, можуть виникнути проблеми.

Переконайтеся, що ключ AWS KMS більше не відображається в Control Hub, перш ніж видалити CMK з консолі AWS.

Відновіть ключ AWS KMS

1.	Увійти в Control Hub , і перейдіть до Налаштування організації > Керування ключами .
2.	Перейдіть до видаленого ключа AWS KMS.
3.	Клацніть і виберіть Скасувати видалення .
4.	Підтвердьте відновлення ключа. Після відновлення Control Hub показує ключ у стані «Відкликано».

Вирішіть проблеми з ключем AWS KMS

Якщо у вас виникли проблеми з ключем AWS KMS, скористайтеся наведеною далі інформацією для усунення несправностей.

Ключ ARN AWS KMS. Наприклад: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Надає на ключ AWS KMS .
Стан ключа AWS KMS. Наприклад, ключ AWS KMS вимкнено.

Приклад: Створення та шифрування ключів за допомогою OpenSSL

У цьому прикладі використовується версія 3.0 інструментів командного рядка OpenSSL. Перегляньте OpenSSL для отримання додаткової інформації про ці інструменти.

1.	Увійдіть в Control Hub.
2.	Перейдіть до налаштувань організації > Керування клавішами.
3.	Натисніть Завантажити відкритий ключ. Ви отримуєте відкритий ключ Webex HSM у файлі .pem у вашій локальній системі.
4.	Створіть 256-бітний (32-байтовий) ключ: `openssl rand 32 -out main_key.bin` У прикладі використовується ім 'я файлу main_key.bin для незашифрованого нового ключа.
5.	Використовуйте відкритий ключ Webex HSM для шифрування нового ключа: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` У прикладі використовується ім 'я файлу main_key_encrypted.bin для зашифрованого ключа виводу та шлях до файлу/to/public.pem для відкритого ключа Webex. Зашифрований ключ готовий для завантаження в Центр керування.