作為我們對端對端安全性承諾的一部分, Webex代表每個組織持有一個主金鑰。 我們將其稱為主金鑰,因為它不直接加密內容,但它用於加密您組織中用於加密內容的其他金鑰。 金鑰層級的基本層級稱為內容金鑰 (CK),金鑰的中間層級稱為金鑰加密金鑰 (KEK)。

我們知道有些組織喜歡管理自己的安全性,因此我們向您提供了管理您自己的客戶主金鑰 (CMK) 的選項。 這意味著您負責建立和輪用(重新加密)主金鑰, Webex用來加密您的內容加密金鑰。

以後,除非另有說明,否則金鑰將指 CMK。

操作方式
  1. Webex將您的 CMK 儲存在硬體安全性模組 (HSM) 中,因此Webex服務無法存取 CMK 值。

  2. Control Hub 顯示您目前處於活動狀態或已撤銷的 CMK 以及儲存在 HSM 中的任何待處理的 CMK。 當您需要輪用(重新加密)CMK 時,您將產生新的 CMK 並使用 HSM 的公開金鑰對其進行加密,以便只有 HSM 可以解密和儲存它。

  3. 然後,您可以在 Control Hub 中上傳並啟用新的 CMK。 Webex會立即開始使用新的 CMK 來加密您的內容金鑰。 Webex會保留舊的 CMK,但僅保留到其確定您的內容加密金鑰已受到新 CMK 的保護為止。


 
我們不會以追溯方式重新加密所有現有內容。 啟動 CMK 後,所有新內容(空間和會議)都會重新加密並受到保護。

我們知道,有些組織喜歡在Webex之外管理自己的金鑰。 這就是為何我們向您提供在 Amazon 網路 Services (AWS) Key Management Service (KMS) 中管理您自己的 CMK 的選項。 這意味著您負責管理 AWS KMS 中的金鑰。 您授權Webex透過 AWS 主控台使用您的 AWS KMS 金鑰進行加密和解密。 您向Webex提供的是您的 AWS KMS 金鑰ID而非 CMK。 這意味著,您將負責建立和輪用(重新加密)AWS KMS 金鑰, Webex會使用該金鑰在雲端中加密您的內容加密金鑰。

操作方式

  1. 您使用 AWS 建立金鑰。 AWS KMS 用於管理您的金鑰並將金鑰儲存在硬體安全性模組 (HSM) 中。

  2. 您向Webex提供透過 AWS 主控台使用 AWS KMS 金鑰的存取權。

    這意味著您不會將 CMK 上傳至 Control Hub,而是向Webex提供對 AWS KMS 金鑰的存取權。 AWS KMS 密鑰不會離開您的 AWS KMS 和Webex服務無法存取 AWS KMS 密鑰資料。

    Control Hub 顯示您目前處於活動狀態或已撤銷的 AWS KMS 密鑰,以及儲存在 AWS KMS 中的任何待處理的 AWS KMS 密鑰。 當您需要輪用 AWS KMS 密鑰時,您可以使用 AWS KMS 主控台生成新的 AWS KMS 密鑰。

  3. 然後,您在 Control Hub 中新增並啟動新的 AWS KMS 金鑰,並向它提供新的 AWS KMS 金鑰的 Amazon 資源名稱 (ARN)。 Webex會立即開始使用新的 AWS KMS 金鑰來加密您的內容金鑰。 Webex不再需要舊的 AWS KMS 密鑰。 在您的內容加密金鑰輪用並由新的 AWS KMS 金鑰保護之後,舊的 AWS KMS 金鑰將從 Control Hub 中消失。 Webex不會從 AWS KMS 刪除 AWS KMS 密鑰。 您的客戶管理員可以從 AWS KMS 中移除金鑰。

密鑰生命週期

鍵狀態定義
擱置

處於此狀態的金鑰會儲存在 HSM 中,但尚未用於加密。 Webex不使用此 CMK 進行加密。


 
只有一個鍵可以處於此狀態。
Active

Webex目前正在使用此 CMK 為您的組織加密其他金鑰。


 
只有一個鍵可以處於此狀態。
輪流

Webex暫時使用此 CMK。 Webex需要它來解密先前由此金鑰加密的資料和金鑰。 當完成輪用(重新加密)後,此金鑰將棄用。


 
如果在輪用完成之前啟動了新鍵,則多個鍵可以處於此狀態。
已棄用

Webex未使用此 CMK。 此金鑰不再用於加密。 設定了鍵的生命週期,之後會從 HSM 中移除此鍵。

已撤銷

Webex未使用此 CMK。 即使有已使用此金鑰加密的資料和金鑰, Webex也無法使用它來解密資料和金鑰。


 
  • 僅當您懷疑使用中的金鑰已遭盜用時,才需要撤銷該金鑰。 這是一個嚴肅的決定,因為這會妨礙許多操作正常進行。 例如,您將無法建立新空間,也無法解密Webex用戶端中的任何內容。
  • 只有一個鍵可以處於此狀態。 您必須重新啟用此金鑰才能輪用(重新加密)新金鑰。
  • 可以刪除此 CMK,但您不必將其刪除。 在解決可疑的安全隱患後,您可能需要保留它以用於解密/重新加密。
已刪除

Webex未使用此 CMK。 此狀態下的行為與「撤銷」狀態相同,除了設定了金鑰生存時間,此後會從 HSM 移除此金鑰。


 
  • 如果已刪除的 CMK 進展為已移除狀態,您必須恢復原始金鑰才能還原組織的功能。
  • 我們建議您保留原始金鑰的備份,否則您的組織將無法再正常運作。
已移除

這是邏輯狀態。 Webex在 HSM 中未儲存此 CMK。 它不會顯示在 Control Hub 中。

所有權

取得 CMK 的所有權後,您必須:

  • 負責安全地建立和備份金鑰
  • 了解遺失金鑰的影響
  • 最佳做法是每年至少重新加密活動 CMK 一次
建立金鑰

您必須使用這些參數建立您自己的 CMK。 您的金鑰必須是:

  • 256 位元(32 位元)長
  • 已使用RSA-OAEP 方案加密
  • 已使用Webex雲端 HSM 公鑰加密

您的金鑰產生軟體必須能夠:

  • SHA-256 雜湊函式
  • MGF1 遮罩產生功能
  • PKCS#1 OAEP 填充

請參閱範例: 使用 OpenSSL 建立和加密金鑰在本文的 資源 標籤中。

授權

您必須有權存取 Control Hub 中的Webex組織。 您必須是完全管理員管理您的 CMK。

1

登入 Control Hub。

2

轉至組織設定>金鑰管理

若要啟用 BYOK,請切換自帶金鑰 (BYOK)開啟。 如果您停用 BYOK,則Webex通用預設鍵成為您組織的主要金鑰。

3

選取上傳自訂金鑰並按一下下一個

4

按一下下載公鑰

將Webex HSM 公鑰儲存在您的本地系統上的 .pem 檔案中。

5

使用您的金鑰管理軟體建立密碼安全的 256 位元(32 位元)隨機金鑰。

6

使用Webex HSM 公開金鑰來加密新金鑰。

必要的加密參數為:

  • RSA-OAEP 方案
  • SHA-256 雜湊函式
  • MGF1 遮罩產生功能
  • PKCS#1 OAEP 填充
請參閱範例: 使用 OpenSSL 建立和加密金鑰在本文的 資源 標籤中。
7

從檔案系統拖曳加密的金鑰,將其放在 Control Hub 介面的上傳區域中,或按一下選擇檔案

8

下一步

Webex將您的金鑰上傳至 HSM,並在其中進行解密和驗證。 然後,Control Hub 會顯示新 CMK 的ID以及目前作用中的 CMK 的ID (若有)。

如果這是您的第一個 CMK,則目前作用中的金鑰是Webex通用預設鍵(我們目前用於加密您組織的金鑰的密鑰)。

9

選擇您想要如何啟動您的金鑰:

  • 啟用新金鑰: 新的 CMK 會立即進入 Active 狀態。 先前作用中的 CMK 會進入輪換(重新加密狀態),直到您的所有內容都受到新 CMK 的保護,此後Webex會刪除先前作用中的 CMK。
  • 稍後啟動: 新的 CMK 會移入等待狀態。 Webex將此 CMK 保留在 HSM 中,但尚不使用它。 Webex會繼續使用目前作用中的 CMK 來加密組織的金鑰。

下一步


 
我們不會以追溯方式重新加密所有現有內容。 啟動 CMK 後,所有新內容(空間和會議)將被重新加密和保護。
1

登入 Control Hub。

2

轉至組織設定>金鑰管理

3

轉至作用中的 CMK。

4

按一下並選取旋轉

5

建立並加密新金鑰(如果您尚未執行此操作)。

該過程在建立並啟動您的客戶主金鑰在本文中。
6

從您的檔案系統拖曳新的金鑰,並將其放在 Control Hub 中。

7

按一下啟用新金鑰

您上傳的新金鑰會進入「使用中」狀態。

舊 CMK 會保持在輪換(重新加密狀態),直到Webex使用新的活動 CMK 完成其所有內容的加密。 重新加密後,金鑰會進入「已棄用」狀態。 然後, Webex會刪除舊的 CMK。

1

登入 Control Hub。

2

轉至組織設定>金鑰管理

3

轉至使用中的密鑰。

4

按一下並選取撤銷

5

確認金鑰撤銷。

完全撤銷您的金鑰可能需要長達 10 分鐘的時間。
1

登入 Control Hub。

2

轉至組織設定>金鑰管理

3

轉至目前撤銷的金鑰。

4

按一下並選取啟動

5

確認金鑰啟動。

先前撤銷的金鑰會進入 Active 狀態。
1

登入 Control Hub。

2

轉至組織設定>金鑰管理

3

轉至被撤銷的金鑰。

4

按一下並選取刪除

5

確認刪除密鑰。

刪除後,您可以選擇在 30 天內還原金鑰。
1

登入 Control Hub。

2

轉至組織設定>金鑰管理

3

移至已刪除的金鑰。

4

按一下並選取取消刪除

5

確認金鑰還原。

復原後,Control Hub 會顯示在刪除之前處於已撤銷狀態的金鑰。 譬如,如果您刪除撤銷的金鑰,然後還原該金鑰,Control Hub 會將已復原的金鑰顯示為「已撤銷」狀態。

所有權

取得 AWS KMS 金鑰的所有權後,您必須:

  • 負責安全地建立和備份您的 AWS KMS 金鑰。
  • 了解遺失 AWS KMS 金鑰的影響。
  • 最佳做法是每年至少重新加密使用中的 AMS KMS 金鑰一次。
授權
  • 您必須有權在 AWS KMS 中為您的Webex組織建立和管理您的金鑰。
  • 您必須有權存取 Control Hub 中的Webex組織。 您必須是完全管理員管理您的 AWS KMS 金鑰。
1

登入AWS並轉至 AWS KMS 主控台。

2

選取客戶管理的金鑰然後按一下建立金鑰

3

使用以下屬性建立金鑰:

  • 按鍵類型 — 選取對稱
  • 按鍵用法 — 選取加密和解密
  • 標籤—輸入別名、說明和標記。
  • 重要管理員 — 選取您組織的重要管理員使用者和角色。
  • 金鑰刪除 — 檢查允許鍵管理員刪除此鍵
  • 關鍵使用者 — 選取組織的關鍵使用者和角色。
4

下一步

5

複查您的設定,然後按一下完成

已建立您的 AWS KMS 密鑰。
6

轉至客戶管理的金鑰並按一下別名或金鑰ID以檢視 ARN。

下一步

我們建議您保留 ARN 的臨時副本。 此 ARN 用於在 Control Hub 中新增並啟動您的 AWS KMS 密鑰。

1

登入AWS並轉至 AWS CloudShell 主控台。

2

執行 create-grant 如下授權Webex :

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}
譬如:
aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user
            

 
KMS_CISCO_USER_ARN 特定於您的組織。 當在 Control Hub 中啟動新的 AWK KMS 金鑰時,ARN 會顯示在新增您的 AWS 金鑰視窗中。

準備工作

您必須先建立 AWS KMS 金鑰,然後才能在 Control Hub 中啟用它。 請參閱建立 AWS KMS 密鑰在本文中。

您必須向Webex提供對 AWS KMS 密鑰的存取權。 請參閱授權Cisco KMS 存取 AWS KMS 金鑰在本文中。

1

登入 Control Hub。

2

轉至組織設定>金鑰管理,並在自帶金鑰 (BYOK)開啟。

如果您停用 BYOK,則Webex通用預設鍵成為您組織的主要金鑰。

3

選取新增 AWS KMS 密鑰並按一下下一個

4

從 AWS 主控台獲取 ARN。

5

在 Control Hub 中輸入 ARN,然後按一下新增

您的金鑰 ARN 會上傳至Cisco KMS,在此驗證對金鑰的存取權。 然後,Control Hub 會顯示新 AWS KMS 鍵的Cisco KMS 鍵ID ,以及目前作用中的Cisco KMS 鍵ID(若有)。

如果這是您的第一個 AWS KMS 金鑰,則目前作用中的金鑰是Webex通用預設鍵(我們目前用於加密您組織的金鑰的密鑰)。

6

選擇您想要如何啟動您的金鑰:

  • 啟動: 新的 AWS KMS 密鑰會立即進入 Active 狀態。
  • 稍後啟動: 新的 AWS KMS 鍵會移入「等待中」狀態。 Webex將此 AWS KMS 金鑰 ARN 保留在Cisco KMS 中,但尚未使用它。 Webex會繼續使用目前作用中的 AWS KMS 密鑰來加密組織的金鑰。
1

登入Control Hub ,並轉至組織設定>金鑰管理

2

轉至使用中的 AWS KMS 密鑰。

3

按一下並選取旋轉

4

輸入新的 AWS KMS 金鑰和新的 ARN,然後按一下新增

該過程在新增並啟動您的 AMS KMS 金鑰在本文中。
5

按一下啟動

您上傳的新 AWS KMS 密鑰將進入 Active 狀態。

舊的 AWS KMS 金鑰會保持在輪換狀態,直到Webex使用新的使用中 AWS KMS 金鑰完成對其所有內容的加密。 重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 中消失。

1

登入Control Hub ,並轉至組織設定>金鑰管理

2

按一下新增另一個金鑰

3

輸入新的 AWS KMS 密鑰,然後按一下新增

Control Hub 會顯示新 AWS KMS 鍵的Cisco KMS 鍵ID ,以及目前作用中的Cisco KMS 鍵ID的ID。

該過程在新增並啟動您的 AMS KMS 金鑰在本文中。

4

按一下啟動

您上傳的新 AWS KMS 密鑰將進入 Active 狀態。

舊的 AWS KMS 金鑰會保持在輪換狀態,直到Webex使用新的使用中 AWS KMS 金鑰完成對其所有內容的加密。 重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 中消失。

1

登入Control Hub ,並轉至組織設定>金鑰管理

2

轉至目前作用中的 AWS KMS 密鑰。

3

按一下並選取本地撤銷

4

確認金鑰撤銷。

完全撤銷您的金鑰可能需要長達 10 分鐘的時間。 AWS KMS 密鑰會進入本地撤銷狀態。

 

如果您的客戶管理員從 AWS KMS 主控台撤銷金鑰,則 AWS KMS 金鑰在 Control Hub 中以「已被 Amazon 撤銷」狀態顯示。

1

登入Control Hub ,並轉至組織設定>金鑰管理

2

轉至已撤銷的 AWS KMS 密鑰。

3

按一下並選取刪除

4

確認刪除密鑰。

刪除後,您可以在 30 天內恢復該金鑰。


 

我們建議您先從 Control Hub 刪除 AWS KMS 金鑰,然後再從 AWS 主控台刪除 CMK。 若在 Control Hub 中刪除 AWS KMS 密鑰之前從 AWS 主控台刪除 CMK,則可能會遇到問題。

請確保在從 AWS 主控台刪除 CMK 之前,AWS KMS 金鑰在 Control Hub 中不再可見。

1

登入Control Hub ,並轉至組織設定>金鑰管理

2

移至已刪除的 AWS KMS 鍵。

3

按一下並選取取消刪除

4

確認金鑰還原。

復原後,Control Hub 會向您顯示處於已撤銷狀態的金鑰。

如果您在使用 AWS KMS 密鑰時遇到問題,請使用以下資訊對其進行疑難排解。

  • AWS KMS 金鑰 ARN。 例如: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  • AWS KMS 密鑰的授權

  • AWS KMS 密鑰狀態。 例如,停用 AWS KMS 密鑰。

此範例使用 3.0 版的 OpenSSL 指令行工具。 請參閱OpenSSL了解更多關於這些工具的資訊。

1

登入 Control Hub。

2

轉至組織設定>金鑰管理

3

按一下下載公鑰

您會在本地系統上的 .pem 檔案中取得Webex HSM 公鑰。

4

建立 256 位元(32 位元)的金鑰: openssl rand -out main_key.bin 32

該範例使用以下檔名main_key.bin為您的未加密的新金鑰。

此外,您還可以使用 16 進制傾印、Python 或線上產生器來產生 32 位元組隨機值。 您還可以建立和管理您的 AWS KMS 密鑰

5

使用Webex HSM 公開金鑰來加密您的新金鑰:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

該範例使用以下檔名main_key_encrypted.bin用於加密的輸出金鑰,以及 檔案名路徑/至/public.pem Webex公鑰。

加密的金鑰已可供您上傳至 Control Hub。