缺省情况下,Webex 本身就是安全的,我们持有一个主密钥,用于加密组织的所有加密密钥。 如果您希望控制组织的主密钥,可以使用 Control Hub 和首选的密钥管理工具。
作为我们端到端安全性承诺的一部分,Webex 代表每个组织持有一个主密钥。 我们称其为主密钥,因为它不直接加密内容,但用于加密组织的其他加密内容的密钥。 密钥层次结构的基本级别称为内容密钥 (CK),密钥的中间级别称为密钥加密密钥 (KEK)。
我们认识到,某些组织倾向于自行管理安全性,因此我们为您提供了管理自己的客户主密钥 (CMK) 的选项。 这意味着您负责创建并旋转(重新加密)Webex用于加密您的内容加密密钥的主密钥。
今后,除非另有指定,否则密钥将引用 CMK。
使用方式
Webex 将您的 CMK 保留在硬件安全模块 (HSM) 中,以便 Webex 服务无法访问 CMK 值。
Control Hub 显示 HSM 中存储的当前活动或吊销的 CMK 以及任何待处理的 CMK。 当您需要旋转(重新加密)CMK时,您可以生成新的CMK并使用HSM的公钥加密,以便只有HSM可以解密和存储它。
然后,您在 Control Hub 中上传并激活新的 CMK。 Webex 将立即开始使用新的 CMK 来加密您的内容密钥。 Webex 会保留旧的 CMK,但前提是确保您的内容加密密钥受到新 CMK 的保护。
我们不会追溯地重新加密所有现有内容。 激活CMK后,所有新内容(空间和会议)都会重新加密并受到保护。 |
我们认识到,有些组织更喜欢在Webex之外管理自己的密钥。 因此,我们允许您选择在Amazon Web Services (AWS)密钥管理服务(KMS)中管理自己的CMK。 这意味着您有责任在AWS KMS中管理您的密钥。 您授权Webex通过AWS控制台使用AWS KMS密钥进行加密和解密。 您向Webex提供AWS KMS密钥标识,而不是CMK。 这意味着您负责创建和旋转(重新加密)AWS KMS密钥,Webex使用该密钥加密您在云端的内容加密密钥。
使用方式
您可以使用AWS创建密钥。 AWS KMS用于管理密钥并将密钥存储在硬件安全模块(HSM)中。
您为Webex提供了通过AWS控制台使用AWS KMS密钥的权限。
这意味着您无需将CMK上传到Control Hub,而是向Webex提供对AWS KMS密钥的访问权限。 AWS KMS密钥不会离开AWS KMS,Webex服务无法访问AWS KMS密钥材料。
Control Hub显示您当前活动或已撤销的AWS KMS密钥以及存储在AWS KMS中的任何待批准的AWS KMS密钥。 当您需要轮换AWS KMS密钥时,您可以使用AWS KMS控制台生成新的AWS KMS密钥。
然后,您可以在Control Hub中添加并激活新的AWS KMS密钥,为其提供新AWS KMS密钥的Amazon资源名称(ARN)。 Webex立即开始使用新的AWS KMS密钥加密您的内容密钥。 Webex不再需要旧的AWS KMS密钥。 在您的内容加密密钥被新的AWS KMS密钥轮换并保护后,旧的AWS KMS密钥将从Control Hub中消失。 Webex不会从AWS KMS中删除AWS KMS密钥。 您的客户管理员可以从AWS KMS中删除密钥。
密钥生命周期
密钥状态定义
- 待处理
-
此状态的密钥存储在 HSM 中,但尚未用于加密。 Webex 不使用此 CMK 进行加密。
只有一个键可以处于此状态。 - Active
-
Webex 当前正在使用此 CMK 来为您的组织加密其他密钥。
只有一个键可以处于此状态。 - 轮换
-
Webex 暂时使用此 CMK。 Webex 需要它来解密先前使用此密钥加密的数据和密钥。 旋转(重新加密)完成后,此密钥将停用。
如果在轮换完成之前激活了一个新密钥,则可以有多个密钥处于此状态。 - 已停用
-
Webex 未使用此 CMK。 该密钥不再用于加密。 已设置密钥存在时间,然后从 HSM 中删除此密钥。
- 已撤销
-
Webex 未使用此 CMK。 即使存在使用此密钥加密的数据和密钥,Webex 也无法使用它来解密数据和密钥。
- 如果您怀疑活动密钥已泄露,您只需要将其吊销。 这是一个严肃的决定,因为它会妨碍许多操作正常运行。 例如,您将无法创建新空间,也无法在 Webex 客户端中解密任何内容。
- 只有一个键可以处于此状态。 您必须重新激活此密钥才能旋转(重新加密)新密钥。
- 可以删除此 CMK,但您不必将其删除。 在解决可疑的安全漏洞后,您可能希望保留该文件以供解密/重新加密。
- 已删除
-
Webex 未使用此 CMK。 此状态下的行为与“已撤销”状态相同,只是设置了密钥生存时间,然后从 HSM 中删除此密钥。
- 如果已删除的 CMK 进展为已删除状态,则必须恢复原始密钥以为组织恢复功能。
- 我们建议您保留原始密钥的备份副本,否则您的组织将无法正常工作。
- 已删除
-
这是逻辑状态。 Webex 没有在 HSM 中存储此 CMK。 它不会显示在 Control Hub 中。
所有权
通过取得您的 CMK 的所有权,您必须:
- 承担安全创建和备份密钥的责任
- 了解丢失密钥的影响
- 每年至少重新加密一次活动的CMK作为最佳实践
密钥创建
您必须使用这些参数创建自己的 CMK。 您的密钥必须是:
- 256 位(32 字节)长
- 使用 RSA-OAEP 方案加密
- 使用 Webex 云 HSM 公钥加密
您的密钥生成软件必须能够:
- SHA-256 散列函数
- MGF1 掩码生成函数
- PKCS#1 OAEP 填充
请参阅示例: 使用 OpenSSL 创建和加密密钥,在本文的资源标签页中。
授权
您必须具有在 Control Hub 中访问 Webex 组织的权限。 您必须是完全权限管理员以管理您的 CMK。
1 | |
2 | 转至 。要启用 BYOK,请切换自带密钥 (BYOK)开启。 如果禁用 BYOK, Webex 通用缺省密钥将成为您组织的主键。 |
3 | 选择上传自定义密钥,然后单击下一步。 |
4 | 单击下载公钥。 在本地系统上将 Webex HSM 公钥保存为 .pem 文件。 |
5 | 使用密钥管理软件创建加密安全的 256 位(32 字节)随机密钥。 |
6 | 使用 Webex HSM 公钥加密您的新密钥。 必需的加密参数包括:
请参阅示例: 使用 OpenSSL 创建和加密密钥,在本文的资源标签页中。
|
7 | 将加密的密钥从文件系统拖放到 Control Hub 界面的上传区域,或者单击选择文件。 |
8 | 单击下一步。 Webex 会将您的密钥上传到 HSM,然后对其进行解密和验证。 然后,Control Hub 会向您显示新 CMK 的 ID 以及当前活动的 CMK 的 ID(如有)。 如果这是您的第一个 CMK,当前活动的密钥是Webex 通用缺省密钥(我们目前用于加密组织密钥的密钥)。 |
9 | 选择您想要的密钥激活方式:
|
下一步
我们不会追溯地重新加密所有现有内容。 激活CMK后,所有新内容(空间和会议)都将被重新加密并受到保护。 |
所有权
拥有AWS KMS密钥后,您必须:
- 负责安全创建和备份您的AWS KMS密钥。
- 了解丢失AWS KMS密钥的含义。
- 作为最佳实践,每年至少重新加密一次有效的AMS KMS密钥。
授权
- 您必须获得授权才能在Webex组织的AWS KMS中创建和管理密钥。
- 您必须具有在 Control Hub 中访问 Webex 组织的权限。 您必须是完全权限管理员才能管理您的AWS KMS密钥。
1 | 登录 <UNK> WS 并转至AWS KMS控制台。 |
2 | 选择客户管理密钥,然后单击创建密钥。 |
3 | 使用以下属性创建密钥:
|
4 | 单击下一步。 |
5 | 检查您的设置,然后单击Finish(完成)。 您的AWS KMS密钥已创建。
|
6 | 转至客户管理的密钥,然后单击别名或密钥ID以查看ARN。 |
下一步
我们建议您保留ARN的临时副本。 此ARN用于在Control Hub中添加和激活您的AWS KMS密钥。
1 | 登录 <UNK> WS 并转至AWS CloudShell控制台。 | ||
2 | 运行 例如:
|
准备工作
您必须先创建AWS KMS密钥,然后才能在Control Hub中激活。 请参阅本文中的创建AWS KMS密钥。
您必须向Webex提供对AWS KMS密钥的访问权限。 请参阅本文 授权Cisco KMS访问AWS KMS密钥 。
1 | |
2 | 转至 自带密钥(BYOK)。 ,并打开如果禁用 BYOK, Webex 通用缺省密钥将成为您组织的主键。 |
3 | 选择添加AWS KMS键,然后单击下一步。 |
4 | 从AWS控制台获取ARN。 |
5 | 在Control Hub中输入ARN并单击添加。 您的密钥ARN将上传到Cisco KMS,在那里验证对密钥的访问。 然后,Control Hub会向您显示新AWS KMS密钥的Cisco KMS密钥ID,以及当前活动的Cisco KMS密钥ID(如果有)。 如果这是您的第一个AWS KMS密钥,则当前活动的密钥是 Webex通用默认密钥(我们目前用于加密您组织的密钥的密钥)。 |
6 | 选择您想要的密钥激活方式:
|
1 | 登录 Control Hub,然后转至 。 |
2 | 转至活动AWS KMS密钥。 |
3 | 单击然后选择旋转。 |
4 | 输入新的AWS KMS密钥和新ARN,然后单击添加。 本文中添加并激活您的AMS KMS密钥中介绍了此过程。
|
5 | 单击激活。 您上传的新AWS KMS密钥将进入“活动”状态。 旧的AWS KMS密钥将保持旋转状态,直到Webex使用新的活动AWS KMS密钥完成对其所有内容的加密。 重新加密后,旧的AWS KMS密钥会自动从Control Hub中消失。 |
1 | 登录 Control Hub,然后转至 。 |
2 | 单击添加其他键。 |
3 | 输入新的AWS KMS密钥,然后单击添加。 Control Hub显示新AWS KMS密钥的Cisco KMS密钥ID,以及当前活动的Cisco KMS密钥ID。 本文中添加并激活您的AMS KMS密钥中介绍了此过程。 |
4 | 单击激活。 您上传的新AWS KMS密钥将进入“活动”状态。 旧的AWS KMS密钥将保持旋转状态,直到Webex使用新的活动AWS KMS密钥完成对其所有内容的加密。 重新加密后,旧的AWS KMS密钥会自动从Control Hub中消失。 |
1 | 登录 Control Hub,然后转至 。 |
2 | 转至当前活动的AWS KMS密钥。 |
3 | 单击并选择本地撤销。 |
4 | 确认密钥吊销。 最多可在10分钟内完全撤销您的密钥。 AWS KMS密钥进入“本地撤销”状态。
|
如果您的客户管理员从AWS KMS控制台撤销密钥,则AWS KMS密钥将显示在Control Hub中的“已被Amazon撤销”状态中。 |
1 | 登录 Control Hub,然后转至 。 |
2 | 转至已撤销的AWS KMS密钥。 |
3 | 单击然后选择删除。 |
4 | 确认删除密钥。 删除后,您可以在30天内恢复密钥。 |
我们建议您先从Control Hub删除AWS KMS密钥,然后再从AWS控制台删除CMK。 如果在Control Hub中删除AWS KMS密钥之前从AWS控制台删除CMK,可能会遇到问题。 在从AWS控制台删除CMK之前,请确保AWS KMS密钥在Control Hub中不再可见。 |
1 | 登录 Control Hub,然后转至 。 |
2 | 转至删除的AWS KMS密钥。 |
3 | 单击然后选择取消删除。 |
4 | 确认密钥恢复。 恢复后,Control Hub会向您显示处于“撤销”状态的密钥。 |
如果您在使用AWS KMS密钥时遇到问题,请使用以下信息进行故障诊断。
AWS KMS密钥ARN。 例如,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
。AWS KMS密钥状态。 例如,AWS KMS密钥已禁用。
此示例使用 3.0 版的 OpenSSL 命令行工具。 请参阅OpenSSL有关这些工具的更多信息。
1 | |
2 | 转至 。 |
3 | 单击下载公钥。 您会在本地系统上的 .pem 文件中获得 Webex HSM 公钥。 |
4 | 创建 256 位(32 字节)密钥: 该示例使用main_key.bin为您未加密的新密钥。 或者,也可使用十六进制转储、Python或在线生成器生成32字节的随机值。 您还可以 和管理AWS KMS密钥。 |
5 | 使用 Webex HSM 公钥加密您的新密钥:
该示例使用main_key_encrypted.bin为加密的输出密钥,以及文件名path/to/public.pem用于 Webex 公钥。 已加密密钥可供您上传到 Control Hub。 |