Дякуємо за відгук.
Керуйте власним основним ключем клієнта
Надіслати відгук?Ця функція не підтримується в рішенні Webex for Government.
В рамках нашого зобов'язання щодо комплексної безпеки, Webex володіє головним ключем від імені кожної організації. Ми називаємо його основним ключем, оскільки він не шифрує контент безпосередньо, але використовується для шифрування інших ключів вашої організації, які шифрують контент. Базовий рівень ієрархії ключів називається ключем вмісту (CK), а проміжні рівні ключів називаються ключами шифрування ключів (KEK).
Ми розуміємо, що деякі організації надають перевагу власному керуванню безпекою, тому ми надаємо вам можливість керувати власним головним ключем клієнта (CMK). Це означає, що ви берете на себе відповідальність за створення та ротацію (перешифрування) основного ключа, який Webex використовує для шифрування ключів шифрування вашого контенту.
Надалі ключ позначатиме CMK, якщо не зазначено інше.
Як це працює
-
Webex зберігає ваш CMK в апаратному модулі безпеки (HSM), щоб служби Webex не мали доступу до значення CMK.
-
У Центрі керування відображається ваш поточний активний або відкликаний CMK, а також будь-які очікуючі на розгляд CMK, що зберігаються в HSM. Коли вам потрібно повернути (перезашифрувати) CMK, ви генеруєте новий CMK і шифруєте його за допомогою відкритого ключа HSM, щоб лише HSM міг його розшифрувати та зберегти.
-
Потім ви завантажуєте та активуєте новий CMK у Центрі керування. Webex негайно починає використовувати новий CMK для шифрування ключів вашого контенту. Webex зберігає старий ключ CMK, але лише доти, доки не буде впевнений, що ваші ключі шифрування контенту захищені новим ключем CMK.
Ми не ретроактивно перешифровуємо весь існуючий контент. Після активації CMK весь новий контент (Простіри та Зустрічі) буде повторно шифровано та захищено.
Ми розуміємо, що деякі організації надають перевагу керуванню власним ключем поза межами Webex. Ось чому ми надаємо вам можливість керувати власним CMK у службі керування ключами (KMS) Amazon Web Services (AWS). Це означає, що ви несете відповідальність за керування своїми ключами в AWS KMS. Ви дозволяєте Webex шифрувати та розшифровувати дані за допомогою вашого ключа AWS KMS через консоль AWS. Ви надаєте Webex ідентифікатор ключа AWS KMS замість CMK. Це означає, що ви берете на себе відповідальність за створення та ротацію (перешифрування) ключа AWS KMS, який Webex використовує для шифрування ключів шифрування вашого контенту в хмарі.
Як це працює
-
Ви створюєте ключ за допомогою AWS. AWS KMS використовується для керування вашим ключем і зберігає його в апаратному модулі безпеки (HSM).
-
Ви надаєте Webex доступ до використання ключа AWS KMS через консоль AWS.
Це означає, що замість завантаження вашого CMK у Control Hub ви надаєте Webex доступ до ключа AWS KMS. Ключ AWS KMS не залишає ваш AWS KMS, а сервіси Webex не мають доступу до матеріалів ключа AWS KMS.
У Центрі керування відображається ваш поточний активний або відкликаний ключ AWS KMS, а також будь-які ключі AWS KMS, що очікують на розгляд і зберігаються в AWS KMS. Коли вам потрібно ротувати ключ AWS KMS, ви генеруєте свій новий ключ AWS KMS за допомогою консолі AWS KMS.
-
Потім ви додаєте та активуєте новий ключ AWS KMS у Control Hub, надаючи йому назву ресурсу Amazon (ARN) нового ключа AWS KMS. Webex негайно починає використовувати новий ключ AWS KMS для шифрування ключів вашого контенту. Webex більше не потребує старого ключа AWS KMS. Старий ключ AWS KMS зникне з Control Hub після того, як ваші ключі шифрування контенту будуть замінені на нові та захищені ключами AWS KMS. Webex не видаляє ключ AWS KMS з AWS KMS. Адміністратор вашого клієнта може видалити ключ із AWS KMS.
життєвий цикл ключа
Ключові визначення штатів
- Очікування
-
Ключ у цьому стані зберігається в HSM, але він ще не використовується для шифрування. Webex не використовує цей CMK для шифрування.
У цьому стані може бути лише один ключ.
- Активний
-
Webex зараз використовує цей CMK для шифрування інших ключів вашої організації.
У цьому стані може бути лише один ключ.
- Повернути
-
Webex тимчасово використовує цей CMK. Webex потребує його для розшифрування ваших даних і ключів, які раніше були зашифровані цим ключем. Цей ключ вилучається після завершення ротації (перешифрування).
Кілька ключів можуть перебувати в цьому стані, якщо новий ключ активовано до завершення обертання.
- Більше не використовується
-
Webex не використовує цей CMK. Цей ключ більше не використовується для шифрування. Встановлюється час життя ключа, після чого цей ключ видаляється з HSM.
- Відкликано
-
Webex не використовує цей CMK. Навіть якщо є дані та ключі, зашифровані за допомогою цього ключа, Webex не може використовувати його для розшифрування даних та ключів.
- Вам потрібно відкликати активний ключ, лише якщо ви підозрюєте його компрометацію. Це серйозне рішення, оскільки воно заважає багатьом операціям виконуватися належним чином. Наприклад, ви не зможете створювати нові простори та розшифровувати будь-який вміст у клієнті Webex.
- У цьому стані може бути лише один ключ. Ви повинні повторно активувати цей ключ, щоб повернути (перешифрувати) новий ключ.
- Цей CMK можна видалити, але вам не потрібно його видаляти. Можливо, ви захочете зберегти його для розшифрування / повторне шифрування після усунення підозрілого порушення безпеки.
- Видалено
-
Webex не використовує цей CMK. Поведінка в цьому стані така ж, як і в стані «Скасовано», за винятком того, що встановлюється час життя ключа, після чого цей ключ видаляється з HSM.
- Якщо видалений ключ CMK переходить у стан «Видалено», вам потрібно відновити оригінальний ключ, щоб відновити функціональність організації.
- Ми рекомендуємо вам зберегти резервну копію вашого оригінального ключа, інакше ваша організація більше не працюватиме.
- Видалено
-
Це логічний стан. У Webex цей CMK не зберігається в HSM. Це не відображається в Центрі керування.
Право власності
Взявши на себе право власності на свій CMK, ви повинні:
- Візьміть на себе відповідальність за безпечне створення та резервне копіювання ваших ключів
- Зрозумійте наслідки втрати ключів
- Рекомендується перешифровувати свій активний CMK принаймні раз на рік.
Створення ключа
Ви повинні створити власний CMK, використовуючи ці параметри. Ваш ключ має бути:
- 256 біт (32 байти) завдовжки
- Зашифровано за схемою RSA-OAEP
- Зашифровано за допомогою відкритого ключа хмарного HSM Webex
Ваше програмне забезпечення для генерації ключів повинно бути здатним:
- Хеш-функція SHA-256
- Функція генерації маски MGF1
- PKCS#1 Заповнення OAEP
Див. приклад : Створення та шифрування ключів за допомогою OpenSSL на вкладці «Ресурси» в цій статті.
Авторизація
Ви повинні мати доступ до своєї організації Webex у Центрі керування. Ви повинні бути повним адміністратором, щоб керувати своїм CMK.
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . Щоб увімкнути «Принеси свій власний ключ», увімкніть перемикач «Принеси свій власний ключ (BYOK)». Якщо вимкнути BYOK, загальний ключ Webex за замовчуванням стане основним ключем для вашої організації. |
| 3 |
Виберіть Завантажити власний ключ та натисніть Далі. |
| 4 |
Натисніть Завантажити відкритий ключ. Збережіть відкритий ключ Webex HSM у файлі .pem у вашій локальній системі. |
| 5 |
Створіть криптографічно захищений 256-бітний (32 байт) випадковий ключ за допомогою програмного забезпечення для керування ключами. |
| 6 |
Використайте відкритий ключ Webex HSM для шифрування нового ключа. Необхідні параметри шифрування:
Див. приклад : Створення та шифрування ключів за допомогою OpenSSL на вкладці «Ресурси» в цій статті.
|
| 7 |
Перетягніть зашифрований ключ з файлової системи в область завантаження інтерфейсу Control Hub або натисніть Вибрати файл. |
| 8 |
Клацніть Далі. Webex завантажує ваш ключ до HSM, де він розшифровується та перевіряється. Потім Control Hub покаже вам ідентифікатор вашого нового CMK та ідентифікатор поточного активного CMK, якщо такий є. Якщо це ваш перший CMK, наразі активним ключем є загальний ключ Webex за замовчуванням (той, який ми зараз використовуємо для шифрування ключів вашої організації). |
| 9 |
Виберіть, як ви хочете активувати свій ключ:
|
Що далі
Ми не ретроактивно перешифровуємо весь існуючий контент. Після активації CMK весь новий контент (Простіри та Зустрічі) буде повторно зашифровано та захищено.
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . |
| 3 |
Перейдіть до активного CMK. |
| 4 |
Натисніть |
| 5 |
Створіть та зашифруйте новий ключ (якщо ви ще цього не зробили). Процес описано в розділі Створення та активація головного ключа клієнта цієї статті.
|
| 6 |
Перетягніть новий ключ з файлової системи та скиньте його в Центр керування. |
| 7 |
Натисніть Активувати новий ключ. Новий завантажений вами ключ переходить у активний стан. Старий ключ CMK залишається в стані ротації (повторного шифрування), доки Webex не завершить шифрування всього свого вмісту за допомогою нового активного CMK. Після повторного шифрування ключ переходить у стан «Виведено з експлуатації». Потім Webex видаляє старий CMK. |
та виберіть | 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . |
| 3 |
Перейдіть до активної клавіші. |
| 4 |
Натисніть |
| 5 |
Підтвердіть відкликання ключа. Повне скасування вашого ключа може зайняти до 10 хвилин.
|
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . |
| 3 |
Перейдіть до поточного анульованого ключа. |
| 4 |
Натисніть |
| 5 |
Підтвердіть активацію ключа. Раніше відкликаний ключ переходить у активний стан.
|
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . |
| 3 |
Перейдіть до анульованого ключа. |
| 4 |
Натисніть |
| 5 |
Підтвердіть видалення ключа. Після видалення ви маєте можливість відновити ключ протягом 30 днів.
|
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . |
| 3 |
Перейдіть до видаленого ключа. |
| 4 |
Натисніть |
| 5 |
Підтвердіть відновлення ключа. Після відновлення Control Hub показує ключ у стані «Відкликано» до його видалення. Наприклад, якщо ви видалите відкликаний ключ, а потім відновите його, Control Hub покаже відновлений ключ у стані «Відкликано».
|
Право власності
Отримуючи право власності на свій ключ AWS KMS, ви повинні:
- Візьміть на себе відповідальність за безпечне створення та резервне копіювання ваших ключів AWS KMS.
- Зрозумійте наслідки втрати ключів AWS KMS.
- Рекомендується повторно шифрувати активний ключ AMS KMS принаймні раз на рік.
Авторизація
- Ви повинні мати право створювати та керувати своїми ключами в AWS KMS для вашої організації Webex.
- Ви повинні мати доступ до своєї організації Webex у Центрі керування. Ви повинні бути повним адміністратором, щоб керувати своїм ключем AWS KMS.
| 1 |
Увійдіть у AWS та перейдіть до консолі AWS KMS. |
| 2 |
Виберіть Ключі, керовані клієнтом, а потім натисніть Створити ключ. |
| 3 |
Створіть ключ з такими атрибутами:
|
| 4 |
Клацніть Далі. |
| 5 |
Перегляньте налаштування та натисніть «Готово». Ваш ключ AWS KMS створено.
|
| 6 |
Перейдіть до розділу Ключі, керовані клієнтом та натисніть псевдонім або ідентифікатор ключа, щоб переглянути ARN. |
Що далі
Ми рекомендуємо вам зберігати тимчасову копію ARN. Цей ARN використовується для додавання та активації вашого ключа AWS KMS у Центрі керування.
Також рекомендуємо створити резервний ключ, щоб забезпечити доступність та стійкість даних. Це дозволяє отримати доступ до зашифрованих даних навіть під час регіональних перебоїв. Для отримання додаткової інформації зверніться до розділу Створення резервної копії ключа AWS KMS у цій статті.
Перш ніж почати
Перш ніж створювати резервний ключ, переконайтеся, що ви створили багаторегіональний ключ. Для отримання додаткової інформації зверніться до розділу Створення ключа AWS KMS у цій статті.
| 1 |
Увійдіть у AWS та перейдіть до консолі AWS KMS. |
| 2 |
Виберіть щойно створений багаторегіональний ключ. |
| 3 |
У розділі Регіональністьнатисніть Створити нові ключі реплік. |
| 4 |
Виберіть регіон резервного копіювання зі списку регіонів AWS і натисніть Далі. Наприклад, якщо ключ було створено на заході США (us-west-1), розгляньте можливість створення резервного ключа на сході США (us-east-1).
|
| 5 |
Створіть ключ з такими атрибутами:
|
| 6 |
Клацніть Далі. |
| 7 |
Перегляньте налаштування, поставте позначку в полі підтвердження та натисніть Створити нові репліки ключів. |
Ви можете авторизувати Cisco KMS для доступу до вашого ключа AWS KMS, створивши грант KMS або налаштувавши роль IAM. Виберіть варіант, який найкраще відповідає потребам вашої організації, щоб забезпечити безпечну та гнучку інтеграцію керування ключами.
Використання гранту KMS
Цей метод передбачає безпосереднє надання Cisco KMS дозволів на виконання криптографічних операцій з вашим ключем AWS KMS.
| 1 |
Увійдіть у AWS та перейдіть до консолі AWS CloudShell. |
| 2 |
Виконайте |
Використання ролі IAM
Створіть політику IAM з необхідними дозволами KMS, а потім прив’яжіть її до ролі IAM, яку може виконувати Cisco KMS, забезпечуючи безпечне та централізоване керування доступом.
Налаштування політики IAM
| 1 |
Увійдіть у AWS та перейдіть до консолі AWS KMS. |
| 2 |
Перейти до . |
| 3 |
У лівій навігаційній панелі виберіть Політики, а потім натисніть Створити політику. |
| 4 |
У розділі Редактор політик виберіть опцію JSON. |
| 5 |
Скопіюйте та вставте наступний документ політики. Замініть |
| 6 |
Клацніть Далі. |
| 7 |
Введіть назву політики та необов'язковий опис. |
| 8 |
Натисніть Створити політику. |
Налаштування ролі IAM
| 1 |
Увійдіть у AWS та перейдіть до консолі AWS KMS. |
| 2 |
Перейти до . |
| 3 |
У лівій навігаційній панелі виберіть Ролі, а потім натисніть Створити роль. |
| 4 |
У розділі Тип довіреної сутностівиберіть Обліковий запис AWS. |
| 5 |
Виберіть Інший обліковий запис AWS. |
| 6 |
У полі Ідентифікатор облікового запису введіть ідентифікатор облікового запису AWS, наданий в інтерфейсі Control Hub. Це той самий ідентифікатор облікового запису, що є частиною |
| 7 |
Клацніть Далі. |
| 8 |
У розділі Додати дозволизнайдіть і виберіть щойно створену політику IAM. |
| 9 |
Клацніть Далі. |
| 10 |
Введіть назву ролі та необов'язковий опис. |
| 11 |
Перегляньте налаштування та натисніть Створити роль. |
Перш ніж почати
Ви повинні створити ключ AWS KMS, перш ніж активувати його в Control Hub. Див. розділ Створення ключа AWS KMS у цій статті.
Ви повинні надати Webex доступ до ключа AWS KMS. Див. розділ Авторизація Cisco KMS для доступу до ключа AWS KMS у цій статті.
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до та увімкніть Принеси свій власний ключ (BYOK). Якщо вимкнути BYOK, загальний ключ Webex за замовчуванням стане основним ключем для вашої організації. |
| 3 |
Виберіть Додати ключ AWS KMS та натисніть Далі. |
| 4 |
Отримайте такі ARN з консолі AWS:
|
| 5 |
У Центрі керування введіть Первинний ключ ARN. Якщо можливо, також введіть ARN резервного ключа та ARN ролі IAM у відповідні поля. Потім натисніть Додати. Ваш первинний ключ ARN завантажується до Cisco KMS, де перевіряється доступ до ключа. Потім Control Hub покаже вам ідентифікатор ключа Cisco KMS вашого нового ключа AWS KMS та поточний активний ідентифікатор ключа Cisco KMS, якщо такий є. Якщо це ваш перший ключ AWS KMS, то наразі активним ключем є загальний ключ Webex за замовчуванням (той, який ми зараз використовуємо для шифрування ключів вашої організації). |
| 6 |
Виберіть, як ви хочете активувати свій ключ:
|
| 1 |
Увійдіть у Центр керуваннята перейдіть до . |
| 2 |
Перейдіть до активного ключа AWS KMS. |
| 3 |
Натисніть |
| 4 |
Введіть свій новий ключ AWS KMS та новий ARN і натисніть Додати. Процес описано в розділі Додавання та активація ключа AMS KMS цієї статті.
|
| 5 |
Натисніть активувати . Новий завантажений вами ключ AWS KMS переходить у активний стан. Старий ключ AWS KMS залишається в стані «Змінюється», доки Webex не завершить шифрування всього свого вмісту за допомогою нового активного ключа AWS KMS. Після повторного шифрування старий ключ AWS KMS автоматично зникає з Control Hub. |
| 1 |
Увійдіть у Центр керуваннята перейдіть до . |
| 2 |
Натисніть Додати ще один ключ. |
| 3 |
Введіть свій новий ключ AWS KMS і натисніть Додати. Центр керування показує ідентифікатор ключа Cisco KMS вашого нового ключа AWS KMS та ідентифікатор поточного активного ідентифікатора ключа Cisco KMS. Процес описано в розділі Додавання та активація ключа AMS KMS цієї статті. |
| 4 |
Натисніть активувати . Новий завантажений вами ключ AWS KMS переходить у активний стан. Старий ключ AWS KMS залишається в стані «Змінюється», доки Webex не завершить шифрування всього свого вмісту за допомогою нового активного ключа AWS KMS. Після повторного шифрування старий ключ AWS KMS автоматично зникає з Control Hub. |
| 1 |
Увійдіть у Центр керуваннята перейдіть до . |
| 2 |
Перейдіть до поточного активного ключа AWS KMS. |
| 3 |
Натисніть |
| 4 |
Підтвердіть відкликання ключа. Повне скасування вашого ключа може зайняти до 10 хвилин. Ключ AWS KMS переходить у стан «Локально відкликано».
|
Якщо адміністратор вашого клієнта скасовує ключ із консолі AWS KMS, то ключ AWS KMS відображається у стані «Скасовано Amazon» у Центрі керування.
| 1 |
Увійдіть у Центр керуваннята перейдіть до . |
| 2 |
Перейдіть до відкликаного ключа AWS KMS. |
| 3 |
Натисніть |
| 4 |
Підтвердіть видалення ключа. Після видалення ви можете відновити ключ протягом 30 днів. |
Ми рекомендуємо спочатку видалити ключ AWS KMS з Control Hub, перш ніж видаляти CMK з консолі AWS. Якщо ви видалите свій CMK з консолі AWS перед видаленням ключа AWS KMS у Control Hub, у вас можуть виникнути проблеми.
Перш ніж видаляти ключ CMK з консолі AWS, переконайтеся, що ключ AWS KMS більше не відображається в Control Hub.
| 1 |
Увійдіть у Центр керуваннята перейдіть до . |
| 2 |
Перейдіть до видаленого ключа AWS KMS. |
| 3 |
Натисніть |
| 4 |
Підтвердіть відновлення ключа. Після відновлення Control Hub покаже вам ключ у стані «Скасовано». |
Якщо у вас виникли проблеми з ключем AWS KMS, скористайтеся наступною інформацією для їх усунення.
-
Ключ AWS KMS ARN. Наприклад,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
Стан ключа AWS KMS. Наприклад, ключ AWS KMS вимкнено.
У цьому прикладі використовується версія 3.0 інструментів командного рядка OpenSSL. Див. OpenSSL для отримання додаткової інформації про ці інструменти.
| 1 |
Увійдіть у Центркерування. |
| 2 |
Перейдіть до . |
| 3 |
Натисніть Завантажити відкритий ключ. Ви отримуєте відкритий ключ Webex HSM у файлі .pem у вашій локальній системі. |
| 4 |
Створіть 256-бітний (32 байтовий) ключ: У прикладі для вашого нового незашифрованого ключа використовується ім'я файлу main_key.bin. Або ж ви можете згенерувати 32-байтове випадкове значення за допомогою шістнадцяткового дампа, Python або онлайн-генераторів. Ви також можете створити та керувати своїм ключем AWS KMS. |
| 5 |
Використайте відкритий ключ Webex HSM для шифрування нового ключа: У прикладі використовується ім'я файлу main_key_encrypted.bin для зашифрованого вихідного ключа та ім'я файлу path/to/public.pem для відкритого ключа Webex. Зашифрований ключ готовий до завантаження в Control Hub. |
