Webex 密钥管理服务 (KMS) 最初是为了为 Webex 消息内容(例如交换的消息和文件)添加额外的加密层而开发的。现在,Webex Suite 允许会议使用 KMS 作为用户生成内容的通用加密服务。Webex Suite 服务现在使用 KMS 加密以下数据类型:

Webex Messaging

  • 消息
  • 文件

Webex Meetings

  • 聊天消息(新)
  • 共享文件(新)
  • 注释(新)
  • 录制文件
  • 副本
  • 白板
Webex Calling
  • 语音邮件
  • 语音邮件记录

Webex 使用 KMS 进行端到端加密

Webex 端到端加密 使用 KMS 生成、分发和管理用于加密上面列出的用户生成内容的加密密钥。

  • Webex App 和 Cisco 视频设备对所有用户生成的内容(例如消息、文件和白板)使用 Webex 端到端加密,并且还使用传输层安全性 (TLS) 对传输中的数据进行加密。
  • 对于静态数据,此端到端加密内容存储在 Webex 云中的加密内容服务器上。
  • 这一额外的安全层可保护传输中的用户生成内容免受 TLS 拦截攻击,并保护存储的用户数据免受 Webex 云中潜在不良行为者的侵害。

借助 Webex 端到端加密,Webex 服务可以使用端到端加密密钥解密数据以提供 Webex 核心服务,例如:

  • 搜索功能的消息索引
  • 数据丢失预防(合规性)
  • 文件转码
  • 发掘
  • 数据存档
  • 恶意软件扫描(使用扩展安全包)

如果您需要为会议提供更高级别的安全性和保密性,您可以使用 零信任端到端加密的 Webex 会议。使用零信任安全,会议加密密钥由会议参与者生成,并且只有会议参与者可以访问;Webex 服务无法访问会议加密密钥。

请参阅 Webex 会议的带有身份验证的端到端加密 来比较 Webex 端到端加密和零信任端到端加密。

Webex Meetings 架构和新的基于 KMS 的加密服务
基于 KMS 的会议录音和文字记录加密

Webex Meetings 录制文件和文字记录均使用 KMS 生成的加密密钥(加密密码 = AES-256-GCM)。使用单个加密密钥来加密您组织的所有录音和文字记录。

Webex 为会议录制文件和文字记录提供以下控件:

基于 KMS 的会议聊天、字幕、共享文件、白板和注释加密

通过基于 KMS 的内容加密,每次 Webex 会议都会生成唯一的内容加密密钥。这些加密密钥用于加密会议中共享的聊天消息、字幕、共享文件、白板和注释。您的组织存储在 Webex 云中的录音和文字记录使用单个 KMS 生成的 AES-256-GCM 加密密钥进行保护。

Webex 会议服务示意图
Webex Meetings 服务使用 KMS 密钥来存储用户生成的内容
Webex 应用程序显示白板、字幕、聊天和文件共享

内容 shared/created 会议结束后可以查看 Webex 会议期间的内容(聊天、录音、文字记录和白板)。

您可以在 Webex 应用程序的 日历会议内容 选项卡中查看聊天、录音和文字记录。所有拥有 Webex 帐户的会议参与者都可以访问 Webex 应用程序中的聊天消息和录音。未经验证的会议参与者(未登录)只能在会议期间访问共享内容。

会议参与者创建的白板会自动存储在会议参与者的 Webex 白板空间中。

Webex 应用程序:会议内容
符合内容保留政策

聊天消息、录音和录音记录

聊天消息、录音和录音记录使用 Control Hub Webex Meetings 保留策略 设置。

对于录音和文字记录,如果设置了 Control Hub Webex Meetings 保留策略,则会覆盖任何 Webex Site Admin 的录音保留策略设置。

白板

Webex Meetings 中创建的白板使用 Webex Messaging 保留策略。白板保留策略是白板创建者所属组织的策略。

Webex Meetings:用户生成内容的存储

录音和录音记录存储在您注册 Webex 时组织选择的 Webex Meetings 区域中。有关 Webex Meetings 区域和数据中心位置的详细信息,请参阅 Webex Meetings 隐私数据表

会议中创建的聊天消息和白板存储在 Webex Messaging 数据中心区域中。目前,Webex Messaging 使用两个数据中心区域来存储聊天消息和白板内容- 北美 & 世界其他地区欧盟。在预配置期间,设置组织的管理员会在 Control Hub 中看到“国家/地区选择器”下拉菜单。我们确定组织消息数据所在的地理区域。有关此过程和特定国家/地区所映射到的区域的更多信息,请参阅 查找映射到某个国家/地区的数据驻留区域

数据驻留区域位置。
Webex Messaging 数据驻留区域

有关 Webex 消息数据驻留的更多信息,请参阅 Webex 应用程序 & Webex 消息传递隐私数据表Webex 中的数据驻留

如果需要,可以在 Control Hub 中为您的组织禁用 Webex Meetings 聊天消息的持久存储。请参阅 会议结束后保存或清除您组织的会议内聊天记录。Control Hub 管理员可以按以下方式禁用您组织中的白板使用: user/user 内部的组基础 and/or 外部会议。

Webex KMS 部署选项

Webex KMS 为您组织的用户生成内容提供了额外的静态加密层,并支持多种部署选项,具体取决于您的组织所需的安全和控制级别:

  1. Webex Cloud 的 KMS 带有 Webex Cloud HSM 派生的客户主密钥。
  2. Webex 基于云的 KMS,其客户主密钥源自客户密钥 (BYOK)。有关详细信息,请参阅 管理您自己的客户主密钥
  3. Webex 基于云的 KMS,带有来自客户 AWS KMS 的客户主密钥。更多信息请参见 管理您自己的客户主密钥
  4. 基于客户场所的 KMS(混合数据安全 (HDS))——密钥存储在场所内。有关更多信息,请参阅 Webex 混合数据安全部署指南
  5. 合作伙伴管理的基于本地的 KMS(混合数据安全 (HDS))——密钥存储在本地。有关更多信息,请参阅 Webex 混合数据安全部署指南

有关 KMS 操作的技术详细信息,请参阅 Webex Messaging Security Cloud Collaboration Security 技术论文

带上你自己的关键图
Webex 会议中用户生成内容的合规工具

使用 KMS 进行内容加密的 Webex Meetings 还受益于一组通用的合规工具,这些工具可用于管理、存档和执行 Webex Meetings 中用户生成内容的客户策略。此通用合规架构使用 Webex Events API 为会议、聊天、文件、白板、注释、录制和文字记录提供以下服务:

  • 合法保留(覆盖保留政策)
  • 电子发现(合规官搜索)
  • 数据丢失防护——将消息和文件发送到您的 DLP 应用程序进行数据监管
  • 数据存档