Відомості про головні ключі клієнта

У межах наших зобов’язань щодо наскрізної безпеки Webex зберігає головний ключ від імені кожної організації. Ми називаємо його головним ключем, оскільки він не шифрує контент безпосередньо, але використовується для шифрування інших ключів вашої організації, які шифрують контент. Базовий рівень ієрархії ключів називається ключем контенту (CK), а проміжні рівні ключів називаються ключами шифрування ключів (KEK).

Ми визнаємо, що деякі організації віддають перевагу керуванню власною безпекою, тому надаємо вам можливість керувати власним клієнтським головним ключем (CMK). Це означає, що ви несете відповідальність за створення та обертання (повторне шифрування) головного ключа, який використовує Webex для шифрування ваших ключів шифрування контенту.

Якщо не вказано інше, ключ стосується CMK.

Як це працює

  1. Webex зберігає CMK у модулі апаратної безпеки (HSM), щоб служби Webex не мали доступу до значення CMK.

  2. Control Hub показує ваш поточний активний або відкликаний CMK, а також будь-який CMK у режимі очікування, що зберігається в HSM. Коли потрібно повернути (перешифрувати) CMK, ви створюєте новий CMK і шифруєте його за допомогою відкритого ключа HSM, щоб тільки HSM міг розшифрувати та зберігати його.

  3. Потім ви передаєте й активуєте новий CMK у Control Hub. Webex негайно починає використовувати новий CMK для шифрування ключів вашого контенту. Webex зберігає старий CMK, але тільки тоді, коли не буде впевнено, що ключі шифрування вашого контенту захищені новим CMK.

Ми не повторно шифруємо весь наявний контент. Після активації CMK увесь новий контент (простори та наради) буде повторно зашифровано та захищено.
Інформація про ключі KMS AWS

Ми визнаємо, що деякі організації воліють керувати власним ключем за межами Webex. Тому ми надаємо вам можливість керувати власним CMK у службі керування ключами Amazon Web Services (AWS). Це означає, що ви несете відповідальність за керування вашими ключами в KMS AWS. Ви дозволяєте Webex шифрувати та дешифрувати за допомогою вашого ключа AWS KMS через консоль AWS. Ви надаєте Webex свій ідентифікатор ключа KMS AWS замість CMK. Це означає, що ви несете відповідальність за створення та обертання (повторне шифрування) ключа AWS KMS, який Webex використовує для шифрування ключів шифрування вашого контенту в хмарі.

Як це працює

  1. Ви створюєте ключ за допомогою AWS. KMS AWS використовується для керування вашим ключем і зберігання ключа в модулі безпеки апаратного забезпечення (HSM).

  2. Ви надаєте Webex доступ до використання ключа AWS KMS на консолі AWS.

    Це означає, що замість передавання CMK у Control Hub ви надаєте Webex доступ до ключа KMS AWS. Ключ AWS KMS не залишає ваш AWS KMS, а служби Webex не мають доступу до матеріалу ключа AWS KMS.

    У Control Hub відображається ваш поточний активний або відкликаний ключ KMS AWS, а також будь-який ключ KMS AWS у режимі очікування, що зберігається в AWS KMS. Коли потрібно обертати ключ AWS KMS, створюється новий ключ AWS KMS за допомогою консолі AWS KMS.

  3. Потім ви додаєте та активуєте новий ключ AWS KMS у Control Hub, надаючи йому ім’я ресурсу Amazon (ARN) нового ключа AWS KMS. Webex негайно починає використовувати новий ключ KMS AWS для шифрування ключів контенту. Для Webex більше не потрібен старий ключ KMS AWS. Старий ключ KMS AWS зникне з Control Hub після того, як ваші ключі шифрування контенту буде замінено й захищено новим ключем AWS KMS. Webex не видаляє ключ KMS AWS із KMS AWS. Адміністратор клієнта може видалити ключ із KMS AWS.

Ключові стани та життєвий цикл

Життєвий цикл ключа

Ключові визначення стану

Оброблюється

Ключ у цьому стані зберігається в HSM, але він ще не використовується для шифрування. Webex не використовує цей CMK для шифрування.

У цьому стані може бути лише один ключ.
Активний

Webex зараз використовує цей CMK для шифрування інших ключів для вашої організації.

У цьому стані може бути лише один ключ.
Повернути

Webex тимчасово використовує цей CMK. Він потребує Webex, щоб розшифрувати ваші дані та ключі, які раніше були зашифровані цим ключем. Цей ключ буде списано після завершення чергування (повторного шифрування).

У цьому стані може бути кілька ключів, якщо новий ключ активовано до завершення чергування.
Більше не використовується

Webex не використовує цей CMK. Цей ключ більше не використовується для шифрування. Встановлюється ключ time-to-live, після чого цей ключ видаляється з HSM.

Відкликано

Webex не використовує цей CMK. Навіть якщо дані та ключі були зашифровані за допомогою цього ключа, Webex не може використовувати його для дешифрування даних і ключів.

  • Потрібно відкликати активний ключ, лише якщо підозрюєте, що він скомпрометований. Це серйозне рішення, оскільки воно не дозволяє багатьом операціям поводитися належним чином. Наприклад, ви не зможете створювати нові простори й дешифрувати контент у клієнті Webex.
  • У цьому стані може бути лише один ключ. Потрібно повторно активувати цей ключ, щоб повернути (повторно шифрувати) новий ключ.
  • Цей CMK можна видалити, але видаляти його не потрібно. Можливо, ви захочете зберегти його для розшифрування / повторного шифрування після того, як ви усунете підозрюване порушення безпеки.
Видалено

Webex не використовує цей CMK. Поведінка в цьому стані така ж, як і у стані відкликаного, за винятком встановлення ключа time-to-live, після чого цей ключ видаляється з HSM.

  • "Якщо видалений CMK перейде до стану ""Видалено"", потрібно відновити вихідний ключ, щоб відновити функціональність організації."
  • Рекомендовано зберегти резервну копію оригінального ключа, інакше організація більше не буде працювати.
Видалено

Це логічний стан. Webex не має цього CMK, збереженого в HSM. Він не відображається в Control Hub.

Вимоги

Власність

Перейшовши у власність CMK, ви повинні:

  • Візьміть на себе відповідальність за безпечне створення та резервування ваших ключів.
  • Зрозуміти наслідки втрати ключів
  • Повторно шифруйте активний CMK принаймні один раз на рік як найкраща практика.

Створення ключа

Ви повинні створити свій власний CMK за допомогою цих параметрів. Вашим ключем має бути:

  • 256 біт (32 байти) завдовжки
  • Зашифровано за допомогою схеми RSA-OAEP
  • Зашифровано за допомогою відкритого ключа Webex Cloud HSM

Програмне забезпечення для створення ключів має бути здатним:

  • геш-функція SHA-256
  • Функція створення масок MGF1
  • Заповнення OAEP PKCS# 1

Зверніться до прикладу: "Створіть і зашифруйте ключі за допомогою OpenSSL на вкладці ""Ресурси"" в цій статті."

Авторизація

Ви повинні мати доступ до своєї організації Webex у Control Hub. Щоб керувати CMK, ви повинні бути адміністратором із повними правами .

Створити та активувати головний ключ клієнта
1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

Щоб увімкнути BYOK, увімкніть функцію створення власних ключів (BYOK) . Якщо вимкнути BYOK, спільний ключ Webex за замовчуванням стане головним ключем для вашої організації.

3

Виберіть Передати користувацький ключ і клацніть Далі.

4

Клацніть Завантажити відкритий ключ.

Збережіть відкритий ключ Webex HSM у файлі .pem у локальній системі.

5

Створіть криптографічно безпечний 256-бітний (32 байти) випадковий ключ за допомогою програмного забезпечення керування ключами.

6

Використовуйте відкритий ключ Webex HSM для шифрування нового ключа.

Обов’язкові параметри шифрування:

  • Схема RSA-OAEP
  • геш-функція SHA-256
  • Функція створення масок MGF1
  • Заповнення OAEP PKCS# 1
Зверніться до прикладу: "Створіть і зашифруйте ключі за допомогою OpenSSL на вкладці ""Ресурси"" в цій статті."
7

Перетягніть зашифрований ключ із файлової системи й перетягніть його в область передавання інтерфейсу Control Hub або клацніть Вибрати файл.

8

Клацніть Далі.

Webex передає ваш ключ у HSM, де його розшифровують і перевіряють. Потім у Control Hub відображається ідентифікатор вашого нового CMK, а також ідентифікатор поточного активного CMK, якщо він є.

Якщо це ваш перший CMK, поточним активним ключем буде спільний ключ Webex за замовчуванням (той, який зараз використовується для шифрування ключів вашої організації).

9

Виберіть, як потрібно активувати ваш ключ:

  • Активувати новий ключ: Новий CMK негайно переходить в активний стан. Раніше активний CMK перейде в стан чергування (повторне шифрування), доки весь ваш контент не буде захищено новим CMK, після чого Webex видалить раніше активний CMK.
  • Активувати пізніше: Новий CMK переміщується в стан «Очікування». Webex зберігає цей CMK у HSM, але ще не використовує його. Webex продовжує використовувати поточний активний CMK для шифрування ключів вашої організації.

Що далі

Ми не повторно шифруємо весь наявний контент. Після активації CMK увесь новий контент (простори та наради) буде повторно зашифровано та захищено.
Повернути ключ
1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

3

Перейдіть до активного CMK.

4

Клацніть Додаткове меню і виберіть Повернути.

5

Створіть і зашифруйте новий ключ (якщо ви ще цього не зробили).

Процес описано в цій статті в розділі Створення та активація головного ключа клієнта .
6

Перетягніть новий ключ зі своєї файлової системи й перетягніть його в Control Hub.

7

Клацніть Активувати новий ключ.

Новий ключ, який ви передали, перейде в активний стан.

Старий CMK залишатиметься в стані чергування (перешифрування), доки Webex не завершить шифрування всього свого контенту новим активним CMK. Після повторного шифрування ключ переходить до стану пенсії. Після цього Webex видаляє старий CMK.

Відкликайте ключ
1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

3

Перейдіть до активного ключа.

4

Клацніть Додаткове меню і виберіть Відкликати.

5

Підтвердьте відкликання ключа.

Повне відкликання ключа може зайняти до 10 хвилин.
Повторно активуйте відкликаний ключ
1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

3

Перейдіть до ключа, який зараз відкликано.

4

Клацніть Додаткове меню і виберіть Активувати.

5

Підтвердьте активацію ключа.

Ключ, який було відкликано, перейде в активний стан.
Видаліть відкликаний ключ
1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

3

Перейдіть до відкликаного ключа.

4

Клацніть Додаткове меню і виберіть Видалити.

5

Підтвердьте видалення ключа.

Після видалення ви матимете можливість відновити ключ протягом 30 днів.
Відновити відкликаний ключ
1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

3

Перейдіть до видаленого ключа.

4

Клацніть Додаткове меню і виберіть Скасувати видалення.

5

Підтвердьте відновлення ключа.

"Після відновлення Control Hub показує вам ключ у стані ""Відкликано"", перш ніж його було видалено." Наприклад, якщо видалити відкликаний ключ і потім відновити ключ, Control Hub відобразить відновлений ключ у стані відкликаного.

Вимоги

Власність

Придбавши свій ключ AWS KMS, ви повинні:

  • Візьміть на себе відповідальність за безпечне створення та резервування ваших ключів KMS AWS.
  • Зрозумійте наслідки втрати ключів KMS AWS.
  • Повторно шифруйте активний ключ AMS KMS принаймні раз на рік як найкращу практику.

Авторизація

  • Ви повинні мати дозвіл на створення та керування своїми ключами в KMS AWS для вашої організації Webex.
  • Ви повинні мати доступ до своєї організації Webex у Control Hub. Ви повинні бути адміністратором із повними правами , щоб керувати своїм ключем KMS AWS.
Створити ключ KMS AWS
1

Увійдіть до AWS і перейдіть до консолі AWS KMS.

2

Виберіть Ключі під керуванням клієнта , а потім клацніть Створити ключ.

3

Створіть ключ із такими атрибутами:

  • Тип ключа — виберіть Симетричний.
  • Використання ключа – виберіть Шифрувати й дешифрувати.
  • Мітки — введіть псевдонім, опис і теги.
  • Адміністратори-ключі – виберіть користувачів і ролі адміністраторів-ключів вашої організації.
  • Видалення ключа. Установіть прапорець параметра Дозволити адміністраторам ключів видалити цей ключ.
  • Ключові користувачі – виберіть ключові користувачі та ролі своєї організації.
4

Клацніть Далі.

5

Перегляньте налаштування та натисніть Готово.

Ваш ключ KMS AWS створено.
6

Перейдіть до Ключі керовані клієнтом і клацніть Псевдонім або ідентифікатор ключа, щоб переглянути ARN.

Що далі

Рекомендовано зберегти тимчасову копію РНК. Ця ARN використовується для додавання та активації вашого ключа KMS AWS у Control Hub.

Авторизувати Cisco KMS з доступом до ключа KMS AWS
1

Увійдіть до AWS і перейдіть до консолі AWS CloudShell.

2

Запустіть create-grant , щоб авторизувати Webex так:

aws kms create- grant \ -- name {UNIQUE_NAME_FOR_GRANT} \ -- key- id {UUID_Of_AWS_KMS Key} \ -- operations Шифрування Decrypt DescribeKey \ -- grantee- principal {KMS_CISCO_USER_ARN} \ -- retirement- principal {KMS_CISCO_USER_ARN}
Приклад: 
aws kms create- grant \ -- name Cisco- KMS- xxxxxxxx- encrypt- decrypt\ -- key- id xxxxxxxx- xxxx- xxxx- xxxx- xxxx- xxxx- xxxxxxxx\ -- operations Розшифрування шифрування DescribeKey \ -- grantee- principal arn: aws: iam:: xxxxxxxxxxxx: користувач/ kms- cisco- user\ -- retirement- principal arn: aws: iam:: xxxxxxxxxxxx: користувач/ kms- cisco- user
Служба кмс_Cisco_користувач_арн є специфічним для вашої організації. ARN відображається у вікні Додати ключ AWS під час активації нового ключа KMS AWK у Control Hub.
Додати й активувати свій ключ KMS AWS

Перед початком

Необхідно створити ключ AWS KMS, перш ніж активувати його в Control Hub. У цій статті див. розділ Створити ключ KMS AWS .

Необхідно надати Webex доступ до ключа KMS AWS. У цій статті див. розділ Авторизувати Cisco KMS з доступом до ключа KMS AWS .

1

Увійдіть у Центркерування.

2

Перейдіть до розділу Налаштування організації > Керування ключами і ввімкніть функцію створення власних ключів (BYOK) .

Якщо вимкнути BYOK, спільний ключ Webex за замовчуванням стане головним ключем для вашої організації.

3

Виберіть Додати ключ KMS AWS і клацніть Далі.

4

Отримайте ARN із консолі AWS.

5

Введіть ARN у Control Hub і клацніть Додати.

Ваша ARN ключа передається в Cisco KMS, де перевіряється доступ до ключа. Потім у Control Hub відображається ідентифікатор ключа Cisco KMS вашого нового ключа AWS KMS, а також поточний активний ідентифікатор ключа Cisco KMS, якщо такий є.

Якщо це ваш перший ключ KMS AWS, поточним активним ключем буде спільний ключ Webex за замовчуванням (той ключ, який зараз використовується для шифрування ключів вашої організації).

6

Виберіть, як потрібно активувати ваш ключ:

  • Активувати: Новий ключ AWS KMS негайно переходить у активний стан.
  • Активувати пізніше: Новий ключ KMS AWS переміщується в стан очікування. Webex зберігає цю ARN ключа AWS KMS у Cisco KMS, але ще не використовує її. Webex продовжує використовувати поточний активний ключ KMS AWS для шифрування ключів вашої організації.
Повернути ключ KMS AWS
1

Увійдіть до Control Hub і перейдіть до Organization Settings > Key Management (Керування ключами).

2

Перейдіть до активного ключа KMS AWS.

3

Клацніть Додаткове меню і виберіть Повернути.

4

Введіть новий ключ KMS AWS і новий ключ ARN і клацніть Додати.

Процес описано в цій статті в розділі Додавання та активація ключа AMS KMS .
5

Натисніть активувати .

Новий ключ AWS KMS, який ви передали, перейде в активний стан.

Старий ключ KMS AWS залишатиметься в стані чергування, доки Webex не завершить шифрування всього свого контенту новим активним ключем AWS KMS. Після повторного шифрування старий ключ KMS AWS автоматично зникає з Control Hub.

Обертайте, щоб додати інший ключ KMS AWS (необов’язково)
1

Увійдіть до Control Hub і перейдіть до Organization Settings > Key Management (Керування ключами).

2

Клацніть Додати інший ключ.

3

Введіть новий ключ KMS AWS і клацніть Додати.

У Control Hub відображається ідентифікатор ключа Cisco KMS вашого нового ключа AWS KMS, а також ідентифікатор поточного активного ідентифікатора ключа Cisco KMS.

Процес описано в цій статті в розділі Додавання та активація ключа AMS KMS .

4

Натисніть активувати .

Новий ключ AWS KMS, який ви передали, перейде в активний стан.

Старий ключ KMS AWS залишатиметься в стані чергування, доки Webex не завершить шифрування всього свого контенту новим активним ключем AWS KMS. Після повторного шифрування старий ключ KMS AWS автоматично зникає з Control Hub.

Відкликайте свій ключ KMS AWS
1

Увійдіть до Control Hub і перейдіть до Organization Settings > Key Management (Керування ключами).

2

Перейдіть до поточного активного ключа KMS AWS.

3

Клацніть Додаткове меню і виберіть Відкликати локально.

4

Підтвердьте відкликання ключа.

Повне відкликання ключа може зайняти до 10 хвилин. Ключ AWS KMS переходить до стану локально відкликаного.

"Якщо адміністратор клієнта відкликає ключ із консолі AWS KMS, ключ AWS KMS з’явиться в Control Hub у стані ""Відкликано Amazon""."

Видалити ваш ключ KMS AWS
1

Увійдіть до Control Hub і перейдіть до Organization Settings > Key Management (Керування ключами).

2

Перейдіть до відкликаного ключа KMS AWS.

3

Клацніть Додаткове меню і виберіть Видалити.

4

Підтвердьте видалення ключа.

Після видалення ключ можна буде відновити протягом 30 днів.

Ми рекомендуємо спочатку видалити ключ AWS KMS з Control Hub, перш ніж видалити CMK із консолі AWS. Якщо видалити CMK із консолі AWS перед видаленням ключа AWS KMS у Control Hub, можуть виникнути проблеми.

Перш ніж видалити CMK із консолі AWS, переконайтеся, що ключ KMS AWS більше не відображається в Control Hub.

Відновити ключ KMS AWS
1

Увійдіть до Control Hub і перейдіть до Organization Settings > Key Management (Керування ключами).

2

Перейдіть до видаленого ключа KMS AWS.

3

Клацніть Додаткове меню і виберіть Скасувати видалення.

4

Підтвердьте відновлення ключа.

"Після відновлення Control Hub показує ключ у стані ""Відкликано""."

Усунути несправності вашого ключа KMS AWS

Якщо у вас виникли проблеми з ключем KMS AWS, скористайтеся наведеною далі інформацією, щоб усунути несправності.

  • ARN ключа KMS AWS. Наприклад, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Гранти на ключ AWS KMS.

  • Стан ключа KMS AWS. Наприклад, ключ KMS AWS вимкнено.

Приклад: Створення та шифрування ключів за допомогою OpenSSL

У цьому прикладі використовується версія 3.0 інструментів командного рядка OpenSSL. Докладніше про ці інструменти див. в OpenSSL .

1

Увійдіть у Центркерування.

2

Перейдіть до Налаштування організації > Керування ключами.

3

Клацніть Завантажити відкритий ключ.

Відкритий ключ Webex HSM буде отримано у файлі .pem у локальній системі.

4

Створіть 256-розрядний (32 байти) ключ: openssl rand -out main_key.bin 32.

У прикладі використовується ім’я файлу main_key.bin для вашого незашифрованого нового ключа.

Крім того, ви можете створити випадкове значення 32-байтового типу за допомогою Hex-дампа, Python або онлайн-генераторів. Ви також можете створити свій ключ KMS AWS і керувати ним.

5

Використовуйте відкритий ключ Webex HSM, щоб шифрувати новий ключ:

openssl pkeyutl -encrypt -pubin -inkey шлях/до/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

У прикладі використовується ім’я файлу main_key_encrypted.bin для зашифрованого ключа виводу, а ім’я файлу шлях/до/public.pem для відкритого ключа Webex.

Зашифрований ключ готовий до передавання в Control Hub.

Матеріали з теми