感谢您的反馈。
管理您自己的客户主密钥
反馈?Webex for Government 不支持此功能。
作为我们对端到端安全承诺的一部分,Webex 代表每个组织持有主密钥。我们称其为主密钥,因为它不直接加密内容,而是用于加密您组织的其他密钥,而这些密钥再加密内容。密钥层次结构的基础层称为内容密钥(CK),中间层密钥称为密钥加密密钥(KEK)。
我们了解到有些组织更喜欢管理自己的安全,因此我们为您提供了管理您自己的客户主密钥 (CMK) 的选项。这意味着您需要负责创建和轮换(重新加密)Webex 用于加密您的内容加密密钥的主密钥。
今后,除非另有说明,密钥均指 CMK。
使用方式
-
Webex 会将您的 CMK 保存在硬件安全模块 (HSM) 中,因此 Webex 服务无法访问 CMK 值。
-
控制中心显示您当前已激活或已撤销的 CMK 以及存储在 HSM 中的任何待处理 CMK。当您需要轮换(重新加密)CMK 时,您可以生成新的 CMK 并使用 HSM 的公钥对其进行加密,这样只有 HSM 才能解密和存储它。
-
然后,您需要在控制中心上传并激活新的 CMK。Webex 会立即开始使用新的 CMK 来加密您的内容密钥。Webex 会保留旧的 CMK,但只有在确定新的 CMK 能够保护您的内容加密密钥后才会这样做。
我们不会对所有现有内容进行追溯性重新加密。一旦您激活了 CMK,所有新内容(空间和会议)都将重新加密并受到保护。
我们了解到,有些组织更喜欢在 Webex 之外管理自己的密钥。因此,我们为您提供了在亚马逊网络服务 (AWS) 密钥管理服务 (KMS) 中管理您自己的 CMK 的选项。这意味着您需要负责管理您在 AWS KMS 中的密钥。您授权 Webex 通过 AWS 控制台使用您的 AWS KMS 密钥进行加密和解密。您需要向 Webex 提供您的 AWS KMS 密钥 ID,而不是您的 CMK。这意味着您需要负责创建和轮换(重新加密)Webex 用于在云端加密内容加密密钥的 AWS KMS 密钥。
使用方式
-
您使用 AWS 创建密钥。AWS KMS 用于管理您的密钥,并将密钥存储在硬件安全模块 (HSM) 中。
-
您需要通过 AWS 控制台向 Webex 提供使用 AWS KMS 密钥的权限。
这意味着您无需将 CMK 上传到 Control Hub,而是向 Webex 提供对 AWS KMS 密钥的访问权限。AWS KMS 密钥不会离开您的 AWS KMS,Webex 服务也无法访问 AWS KMS 密钥材料。
Control Hub 显示您当前已激活或已撤销的 AWS KMS 密钥以及存储在 AWS KMS 中的任何待处理的 AWS KMS 密钥。当您需要轮换 AWS KMS 密钥时,您可以使用 AWS KMS 控制台生成新的 AWS KMS 密钥。
-
然后,在 Control Hub 中添加并激活新的 AWS KMS 密钥,并向其提供新的 AWS KMS 密钥的 Amazon 资源名称 (ARN)。Webex 会立即开始使用新的 AWS KMS 密钥来加密您的内容密钥。Webex不再需要旧的AWS KMS密钥。内容加密密钥轮换完毕并由新的 AWS KMS 密钥保护后,旧的 AWS KMS 密钥将从 Control Hub 中消失。Webex 不会从 AWS KMS 中删除 AWS KMS 密钥。您的客户管理员可以从 AWS KMS 中删除密钥。
关键生命周期
关键状态定义
- 待解决
-
处于这种状态的密钥存储在 HSM 中,但尚未用于加密。Webex 不使用此 CMK 进行加密。
这种状态下只能有一把钥匙。
- 活动
-
Webex 目前使用此 CMK 为贵组织加密其他密钥。
这种状态下只能有一把钥匙。
- 旋转
-
Webex 暂时使用此 CMK。Webex 需要它来解密之前使用此密钥加密的数据和密钥。当密钥轮换(重新加密)完成后,该密钥将被停用。
如果在轮换完成之前激活了新钥匙,则多个钥匙可能处于这种状态。
- 已停用
-
Webex 未使用此 CMK。此密钥已不再用于加密。设置密钥的生存时间后,该密钥将从 HSM 中移除。
- 已撤销
-
Webex 未使用此 CMK。即使存在用此密钥加密的数据和密钥,Webex 也无法使用此密钥解密数据和密钥。
- 只有当您怀疑密钥已被泄露时,才需要撤销该密钥。这是一个非常严重的决定,因为它会阻止许多操作正常运行。例如,您将无法创建新空间,也无法解密 Webex 客户端中的任何内容。
- 这种状态下只能有一把钥匙。您必须重新激活此密钥才能轮换(重新加密)新密钥。
- 这个 CMK 文件可以删除,但你不必删除它。您可能需要保留它以备解密之用。 / 在解决疑似安全漏洞后重新加密。
- 已删除
-
Webex 未使用此 CMK。此状态下的行为与撤销状态相同,只是设置了密钥生存时间,之后该密钥将从 HSM 中移除。
- 如果已删除的 CMK 变为已移除状态,则必须恢复原始密钥才能恢复组织的功能。
- 我们建议您保留原始密钥的备份,否则您的组织将无法正常运作。
- 已删除
-
这是合乎逻辑的状态。Webex 的 HSM 中没有存储此 CMK。它没有显示在控制中心。
所有权
拥有 CMK 的所有权,您必须:
- 您有责任安全地创建和备份您的密钥。
- 了解丢失钥匙的后果
- 最佳实践是至少每年重新加密一次您的活动 CMK。
创建密钥
您必须使用这些参数创建自己的 CMK。您的密钥必须是:
- 长度为 256 位(32 字节)。
- 使用 RSA-OAEP 方案加密
- 使用 Webex 云 HSM 公钥加密
您的密钥生成软件必须具备以下功能:
- SHA-256 哈希函数
- MGF1 掩膜生成功能
- PKCS#1 OAEP 衬垫
请参考 示例:本文“资源”选项卡中的“使用 OpenSSL 创建和加密密钥”。
授权
您必须拥有在 Control Hub 中访问您的 Webex 组织的权限。您必须是 完全管理员 才能管理您的 CMK。
| 1 | |
| 2 |
前往 。 要启用 BYOK,请将 自带钥匙 (BYOK) 切换为开启。如果禁用 BYOK,则 Webex 通用默认密钥 将成为您组织的主密钥。 |
| 3 |
选择 上传自定义密钥 并单击 下一步。 |
| 4 |
点击 下载公钥。 将 Webex HSM 公钥保存到本地系统的 .pem 文件中。 |
| 5 |
使用密钥管理软件创建加密安全的 256 位(32 字节)随机密钥。 |
| 6 |
使用 Webex HSM 公钥加密您的新密钥。 所需的加密参数如下:
请参考 示例:本文“资源”选项卡中的“使用 OpenSSL 创建和加密密钥”。
|
| 7 |
从文件系统中拖动加密密钥,并将其放到 Control Hub 界面的上传区域中,或者单击 选择文件。 |
| 8 |
单击下一步。 Webex 会将您的密钥上传到 HSM,密钥会在 HSM 中进行解密和验证。然后,控制中心会显示您的新 CMK 的 ID,以及当前活动的 CMK 的 ID(如果有)。 如果这是您的第一个 CMK,则当前活动的密钥是 Webex 通用默认密钥 (我们目前用于加密您组织密钥的密钥)。 |
| 9 |
选择您希望如何激活您的钥匙:
|
下一步
我们不会对所有现有内容进行追溯性重新加密。一旦您激活了 CMK,所有新内容(空间和会议)都将重新加密并受到保护。
并选择
所有权
获取 AWS KMS 密钥的所有权后,您必须:
- 负责安全创建和备份您的 AWS KMS 密钥。
- 了解丢失 AWS KMS 密钥的后果。
- 最佳实践是,至少每年对您的活动 AMS KMS 密钥进行一次重新加密。
授权
- 您必须获得授权才能在 AWS KMS 中为您的 Webex 组织创建和管理密钥。
- 您必须拥有在 Control Hub 中访问您的 Webex 组织的权限。您必须是 完全管理员 才能管理您的 AWS KMS 密钥。
| 1 |
登录到 AWS 并转到 AWS KMS 控制台。 |
| 2 |
选择 客户管理密钥 ,然后单击 创建密钥。 |
| 3 |
创建具有以下属性的密钥:
|
| 4 |
单击下一步。 |
| 5 |
检查您的设置并单击 完成。 您的 AWS KMS 密钥已创建。
|
| 6 |
转到 客户管理密钥 ,然后单击别名或密钥 ID 查看 ARN。 |
下一步
我们建议您保留一份 ARN 的临时副本。此 ARN 用于在 Control Hub 中添加和激活您的 AWS KMS 密钥。
我们还建议您创建备份密钥,以确保数据的可用性和恢复能力。即使在区域性故障期间,也可以访问加密数据。有关更多信息,请参阅本文中的 “创建备份 AWS KMS 密钥 ”部分。
准备工作
请确保您已创建多区域密钥,然后再创建备份密钥。有关更多信息,请参阅本文中的 “创建 AWS KMS 密钥 ”部分。
| 1 |
登录到 AWS 并转到 AWS KMS 控制台。 |
| 2 |
选择新创建的多区域密钥。 |
| 3 |
在 区域性下,单击 创建新的副本密钥。 |
| 4 |
从 AWS 区域列表中选择一个备份区域,然后单击 下一步。 例如,如果密钥是在美国西部(us-west-1)创建的,请考虑在美国东部(us-east-1)创建备份密钥。
|
| 5 |
创建具有以下属性的密钥:
|
| 6 |
单击下一步。 |
| 7 |
检查您的设置,选中确认框,然后单击 创建新的副本密钥。 |
您可以通过创建 KMS 授权或配置 IAM 角色来授权 Cisco KMS 访问您的 AWS KMS 密钥。选择最符合贵组织需求的选项,以确保安全灵活的密钥管理集成。
利用KMS拨款
此方法涉及直接授予 Cisco KMS 权限,以对您的 AWS KMS 密钥执行加密操作。
| 1 |
登录到 AWS 并转到 AWS CloudShell 控制台。 |
| 2 |
运行 |
使用 IAM 角色
创建具有必要 KMS 权限的 IAM 策略,然后将其附加到 Cisco KMS 可以承担的 IAM 角色,从而实现安全集中的访问管理。
配置 IAM 策略
| 1 |
登录到 AWS 并转到 AWS KMS 控制台。 |
| 2 |
前往 。 |
| 3 |
在左侧导航窗格中,选择 策略,然后单击 创建策略。 |
| 4 |
在 策略编辑器 部分,选择 JSON 选项。 |
| 5 |
复制并粘贴以下政策文件。 将 |
| 6 |
单击下一步。 |
| 7 |
输入保单名称 和可选的描述 。 |
| 8 |
点击 创建策略。 |
配置 IAM 角色
| 1 |
登录到 AWS 并转到 AWS KMS 控制台。 |
| 2 |
前往 。 |
| 3 |
在左侧导航窗格中,选择 角色,然后单击 创建角色。 |
| 4 |
在 受信任实体类型下,选择 AWS 账户。 |
| 5 |
选择 另一个 AWS 账户。 |
| 6 |
在 账户 ID 字段中,输入 Control Hub 界面中提供的 AWS 账户 ID。 这是方括号 |
| 7 |
单击下一步。 |
| 8 |
在 添加权限下,搜索并选择您刚刚创建的 IAM 策略。 |
| 9 |
单击下一步。 |
| 10 |
输入角色名称( )和可选的描述( ]) 。 |
| 11 |
查看您的设置并点击 创建角色。 |
准备工作
必须先创建 AWS KMS 密钥,然后才能在 Control Hub 中激活它。请参阅本文中的 “创建 AWS KMS 密钥 ”部分。
您必须向 Webex 提供 AWS KMS 密钥的访问权限。请参阅本文中的 授权 Cisco KMS 访问 AWS KMS 密钥 。
| 1 | |
| 2 |
前往 ,并切换 自带密钥 (BYOK) 开启。 如果禁用 BYOK,则 Webex 通用默认密钥 将成为您组织的主密钥。 |
| 3 |
选择 添加 AWS KMS 密钥 并单击 下一步。 |
| 4 |
从 AWS 控制台获取以下 ARN:
|
| 5 |
在 Control Hub 中,输入 主键 ARN。如果适用,请在相应的字段中输入 备份密钥 ARN 和 IAM 角色 ARN 。然后,点击 添加。 您的 主密钥 ARN 将被上传到 Cisco KMS,在那里验证对密钥的访问权限。然后 Control Hub 会显示您的新 AWS KMS 密钥的 Cisco KMS 密钥 ID,以及当前活动的 Cisco KMS 密钥 ID(如果有)。 如果这是您的第一个 AWS KMS 密钥,则当前活动的密钥是 Webex 通用默认密钥 (我们目前用于加密您组织密钥的密钥)。 |
| 6 |
选择您希望如何激活您的钥匙:
|
| 1 |
登录到 控制中心,然后转到 。 |
| 2 |
转到活动的 AWS KMS 密钥。 |
| 3 |
点击 |
| 4 |
输入您的新 AWS KMS 密钥和新 ARN,然后单击 添加。 本文中的 “添加和激活您的 AMS KMS 密钥 ”部分描述了该过程。
|
| 5 |
单击 激活。 您上传的新 AWS KMS 密钥将进入活动状态。 旧的 AWS KMS 密钥将保持轮换状态,直到 Webex 使用新的活动 AWS KMS 密钥完成对其所有内容的加密。重新加密后,旧的 AWS KMS 密钥会自动从 Control Hub 中消失。 |
| 1 |
登录到 控制中心,然后转到 。 |
| 2 |
点击 添加另一个键。 |
| 3 |
输入您的新 AWS KMS 密钥,然后单击 添加。 Control Hub 会显示您的新 AWS KMS 密钥的 Cisco KMS 密钥 ID,以及当前活动的 Cisco KMS 密钥 ID。 本文中的 “添加和激活您的 AMS KMS 密钥 ”部分描述了该过程。 |
| 4 |
单击 激活。 您上传的新 AWS KMS 密钥将进入活动状态。 旧的 AWS KMS 密钥将保持轮换状态,直到 Webex 使用新的活动 AWS KMS 密钥完成对其所有内容的加密。重新加密后,旧的 AWS KMS 密钥会自动从 Control Hub 中消失。 |
| 1 |
登录到 控制中心,然后转到 。 |
| 2 |
转到当前活动的 AWS KMS 密钥。 |
| 3 |
单击 |
| 4 |
确认撤销密钥。 完全撤销您的钥匙最多可能需要 10 分钟。AWS KMS 密钥进入本地撤销状态。
|
如果您的客户管理员从 AWS KMS 控制台撤销密钥,则 AWS KMS 密钥将显示在 Control Hub 的“已由 Amazon 撤销”状态中。
| 1 |
登录到 控制中心,然后转到 。 |
| 2 |
转到已撤销的 AWS KMS 密钥。 |
| 3 |
点击 |
| 4 |
确认删除密钥。 密钥删除后,您可以在 30 天内恢复该密钥。 |
我们建议您先从 Control Hub 中删除 AWS KMS 密钥,然后再从 AWS 控制台中删除 CMK。如果在 Control Hub 中删除 AWS KMS 密钥之前,从 AWS 控制台中删除 CMK,则可能会遇到问题。
在从 AWS 控制台删除 CMK 之前,请确保 AWS KMS 密钥在 Control Hub 中不再可见。
| 1 |
登录到 控制中心,然后转到 。 |
| 2 |
转到已删除的 AWS KMS 密钥。 |
| 3 |
点击 |
| 4 |
确认密钥恢复。 恢复后,控制中心会将密钥显示为已撤销状态。 |
如果您的 AWS KMS 密钥出现问题,请使用以下信息进行故障排除。
-
AWS KMS 密钥 ARN。例如,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。 -
AWS KMS密钥状态。例如,AWS KMS 密钥已被禁用。
本示例使用 OpenSSL 命令行工具 3.0 版本。有关这些工具的更多信息,请参阅 OpenSSL 。
| 1 | |
| 2 |
前往 。 |
| 3 |
点击 下载公钥。 您可以在本地系统上找到以 .pem 文件形式存在的 Webex HSM 公钥。 |
| 4 |
创建一个 256 位(32 字节)密钥: 该示例使用文件名 main_key.bin 作为您的未加密新密钥。 或者,您可以使用 Hex dump、Python 或在线生成器生成 32 字节的随机值。您 还可以创建和管理您的AWS KMS 密钥。 |
| 5 |
使用 Webex HSM 公钥加密您的新密钥: 该示例使用文件名 main_key_encrypted.bin 作为加密输出密钥,并使用文件名 path/to/public.pem 用于 Webex 公钥。 加密密钥已准备就绪,您可以将其上传到控制中心。 |
