感謝您的意見回饋。
管理您自己的客戶主密鑰
意見回饋?Webex for Government 不支援此功能。
作為我們對端到端安全承諾的一部分,Webex 代表每個組織持有主金鑰。我們稱之為主金鑰,因為它不會直接加密內容,而是用於加密您組織的其他金鑰,而這些金鑰再加密內容。金鑰層次結構的基礎層稱為內容金鑰(CK),中間層金鑰稱為金鑰加密金鑰(KEK)。
我們了解到有些組織喜歡管理自己的安全,因此我們為您提供了管理您自己的客戶主金鑰 (CMK) 的選項。這意味著您需要負責建立和輪換(重新加密)Webex 用於加密您的內容加密金鑰的主金鑰。
今後,除非另有說明,密鑰均指 CMK。
操作方式
-
Webex 會將您的 CMK 保存在硬體安全模組 (HSM) 中,因此 Webex 服務無法存取 CMK 值。
-
控制中心顯示您目前已啟動或已撤銷的 CMK 以及儲存在 HSM 中的任何待處理 CMK。當您需要輪換(重新加密)CMK 時,您可以產生新的 CMK 並使用 HSM 的公鑰對其進行加密,這樣只有 HSM 才能解密和儲存它。
-
然後,您需要在控制中心上傳並啟動新的 CMK。Webex 會立即開始使用新的 CMK 來加密您的內容金鑰。Webex 會保留舊的 CMK,但只有在確定新的 CMK 能夠保護您的內容加密金鑰後才會這樣做。
我們不會對所有現有內容進行追溯性重新加密。一旦您啟動了 CMK,所有新內容(空間和會議)都將重新加密並受到保護。
我們了解到,有些組織喜歡在 Webex 之外管理自己的金鑰。因此,我們為您提供了在亞馬遜網路服務 (AWS) 金鑰管理服務 (KMS) 中管理您自己的 CMK 的選項。這意味著您需要負責管理您在 AWS KMS 中的金鑰。您授權 Webex 透過 AWS 主控台使用您的 AWS KMS 金鑰進行加密和解密。您需要向 Webex 提供您的 AWS KMS 金鑰 ID,而不是您的 CMK。這表示您需要負責建立和輪調(重新加密)Webex 用於在雲端加密內容加密金鑰的 AWS KMS 金鑰。
操作方式
-
您使用 AWS 建立金鑰。AWS KMS 用於管理您的金鑰,並將金鑰儲存在硬體安全模組 (HSM) 中。
-
您需要透過 AWS 主控台向 Webex 提供使用 AWS KMS 金鑰的權限。
這表示您無需將 CMK 上傳到 Control Hub,而是向 Webex 提供對 AWS KMS 金鑰的存取權。AWS KMS 金鑰不會離開您的 AWS KMS,Webex 服務也無法存取 AWS KMS 金鑰資料。
Control Hub 顯示您目前已啟用或已撤銷的 AWS KMS 金鑰以及儲存在 AWS KMS 中的任何待處理的 AWS KMS 金鑰。當您需要輪換 AWS KMS 金鑰時,您可以使用 AWS KMS 主控台產生新的 AWS KMS 金鑰。
-
然後,在 Control Hub 中新增並啟動新的 AWS KMS 金鑰,並向其提供新的 AWS KMS 金鑰的 Amazon 資源名稱 (ARN)。Webex 會立即開始使用新的 AWS KMS 金鑰來加密您的內容金鑰。Webex不再需要舊的AWS KMS金鑰。內容加密金鑰輪換完畢並由新的 AWS KMS 金鑰保護後,舊的 AWS KMS 金鑰將從 Control Hub 中消失。Webex 不會從 AWS KMS 中刪除 AWS KMS 金鑰。您的客戶管理員可以從 AWS KMS 中刪除金鑰。
關鍵生命週期
關鍵狀態定義
- 擱置
-
處於這種狀態的金鑰儲存在 HSM 中,但尚未用於加密。Webex 不使用此 CMK 進行加密。
這種狀態下只能有一把鑰匙。
- 作用中
-
Webex 目前使用此 CMK 為貴組織加密其他金鑰。
這種狀態下只能有一把鑰匙。
- 旋轉
-
Webex 暫時使用此 CMK。Webex 需要它來解密先前使用此金鑰加密的資料和金鑰。當密鑰輪換(重新加密)完成後,該密鑰將被停用。
如果在輪換完成之前啟動了新鑰匙,則多個鑰匙可能處於這種狀態。
- 已棄用
-
Webex 未使用此 CMK。此密鑰已不再用於加密。設定金鑰的生存時間後,該金鑰將從 HSM 中移除。
- 已撤銷
-
Webex 未使用此 CMK。即使存在用此金鑰加密的資料和金鑰,Webex 也無法使用此金鑰解密資料和金鑰。
- 只有當您懷疑密鑰已洩露時,才需要撤銷該密鑰。這是一個非常嚴重的決定,因為它會阻止許多操作正常運作。例如,您將無法建立新空間,也無法解密 Webex 用戶端中的任何內容。
- 這種狀態下只能有一把鑰匙。您必須重新啟動此金鑰才能輪換(重新加密)新金鑰。
- 這個 CMK 檔案可以刪除,但你不必刪除它。您可能需要保留它以備解密之用。 / 在解決疑似安全漏洞後重新加密。
- 已刪除
-
Webex 未使用此 CMK。此狀態下的行為與撤銷狀態相同,只是設定了金鑰生存時間,之後該金鑰將從 HSM 中移除。
- 如果已刪除的 CMK 變成已移除狀態,則必須還原原始金鑰才能還原組織的功能。
- 我們建議您保留原始金鑰的備份,否則您的組織將無法正常運作。
- 已移除
-
這是合乎邏輯的狀態。Webex 的 HSM 中沒有儲存此 CMK。它沒有顯示在控制中心。
所有權
擁有 CMK 的所有權,您必須:
- 您有責任安全地建立和備份您的金鑰。
- 了解丟失鑰匙的後果
- 最佳實踐是至少每年重新加密一次您的活動 CMK。
建立密鑰
您必須使用這些參數建立自己的 CMK。您的密鑰必須是:
- 長度為 256 位元(32 位元組)。
- 使用 RSA-OAEP 方案加密
- 使用 Webex 雲端 HSM 公鑰加密
您的金鑰產生軟體必須具備以下功能:
- SHA-256 雜湊函數
- MGF1 遮罩生成功能
- PKCS#1 OAEP 襯墊
請參考 範例:本文「資源」標籤中介紹如何使用 OpenSSL 建立和加密金鑰。
授權
您必須擁有在 Control Hub 中存取您的 Webex 組織的權限。您必須是 完全管理員 才能管理您的 CMK。
| 1 | |
| 2 |
前往 。 若要啟用 BYOK,請將 自備鑰匙 (BYOK) 切換為開啟。如果停用 BYOK,則 Webex 通用預設金鑰 將成為您組織的主金鑰。 |
| 3 |
選擇 上傳自訂密鑰 並按 下一步。 |
| 4 |
點選 下載公鑰。 將 Webex HSM 公鑰儲存到本機系統的 .pem 檔案。 |
| 5 |
使用金鑰管理軟體建立加密安全的 256 位元(32 位元組)隨機金鑰。 |
| 6 |
使用 Webex HSM 公鑰加密您的新金鑰。 所需的加密參數如下:
請參考 範例:本文「資源」標籤中介紹如何使用 OpenSSL 建立和加密金鑰。
|
| 7 |
從檔案系統中拖曳加密金鑰,並將其放到 Control Hub 介面的上傳區域中,或按 選擇檔案。 |
| 8 |
按一下下一步。 Webex 會將您的金鑰上傳到 HSM,金鑰會在 HSM 中進行解密和驗證。然後,控制中心會顯示您的新 CMK 的 ID,以及目前活動的 CMK 的 ID(如果有)。 如果這是您的第一個 CMK,則目前活動的金鑰是 Webex 通用預設金鑰 (我們目前用於加密您組織金鑰的金鑰)。 |
| 9 |
選擇您希望如何啟動您的鑰匙:
|
下一步
我們不會對所有現有內容進行追溯性重新加密。一旦您啟動了 CMK,所有新內容(空間和會議)都將重新加密並受到保護。
並選擇
所有權
取得 AWS KMS 金鑰的所有權後,您必須:
- 負責安全建立和備份您的 AWS KMS 金鑰。
- 了解遺失 AWS KMS 金鑰的後果。
- 最佳實踐是,至少每年對您的活動 AMS KMS 金鑰進行一次重新加密。
授權
- 您必須獲得授權才能在 AWS KMS 中為您的 Webex 組織建立和管理金鑰。
- 您必須擁有在 Control Hub 中存取您的 Webex 組織的權限。您必須是 完全管理員 才能管理您的 AWS KMS 金鑰。
| 1 |
登入 AWS 並前往 AWS KMS 主控台。 |
| 2 |
選擇 客戶管理金鑰 ,然後按一下 建立金鑰。 |
| 3 |
建立具有以下屬性的密鑰:
|
| 4 |
按一下下一步。 |
| 5 |
檢查您的設定並點擊 完成。 您的 AWS KMS 金鑰已建立。
|
| 6 |
前往 客戶管理金鑰 ,然後按一下別名或金鑰 ID 查看 ARN。 |
下一步
我們建議您保留一份 ARN 的臨時副本。此 ARN 用於在 Control Hub 中新增和啟動您的 AWS KMS 金鑰。
我們也建議您建立備份金鑰,以確保資料的可用性和復原能力。即使在區域性故障期間,也可以存取加密資料。有關更多信息,請參閱本文中的 “建立備份 AWS KMS 金鑰 ”部分。
在開始之前
請確保您已建立多區域金鑰,然後再建立備份金鑰。有關更多信息,請參閱本文中的 “建立 AWS KMS 金鑰 ”部分。
| 1 |
登入 AWS 並前往 AWS KMS 主控台。 |
| 2 |
選擇新建立的多區域密鑰。 |
| 3 |
在 區域性下,按一下 以建立新的副本金鑰。 |
| 4 |
從 AWS 區域清單中選擇一個備份區域,然後按一下 下一步。 例如,如果金鑰是在美國西部(us-west-1)建立的,請考慮在美國東部(us-east-1)建立備份金鑰。
|
| 5 |
建立具有以下屬性的密鑰:
|
| 6 |
按一下下一步。 |
| 7 |
檢查您的設置,選取確認框,然後按一下 建立新的副本金鑰。 |
您可以透過建立 KMS 授權或設定 IAM 角色來授權 Cisco KMS 存取您的 AWS KMS 金鑰。選擇最符合貴組織需求的選項,以確保安全且靈活的金鑰管理整合。
利用KMS撥款
此方法涉及直接授予 Cisco KMS 權限,以對您的 AWS KMS 金鑰執行加密操作。
| 1 |
登入 AWS 並前往 AWS CloudShell 控制台。 |
| 2 |
運行 |
使用 IAM 角色
建立具有必要 KMS 權限的 IAM 策略,然後將其附加到 Cisco KMS 可以承擔的 IAM 角色,從而實現安全集中的存取管理。
配置 IAM 策略
| 1 |
登入 AWS 並前往 AWS KMS 主控台。 |
| 2 |
前往 。 |
| 3 |
在左側導覽窗格中,選擇 策略,然後按一下 建立策略。 |
| 4 |
在 策略編輯器 部分,選擇 JSON 選項。 |
| 5 |
複製並貼上以下政策文件。 將 |
| 6 |
按一下下一步。 |
| 7 |
輸入保單名稱 和可選的描述 。 |
| 8 |
點選 建立策略。 |
配置 IAM 角色
| 1 |
登入 AWS 並前往 AWS KMS 主控台。 |
| 2 |
前往 。 |
| 3 |
在左側導覽窗格中,選擇 角落,然後按 建立角色。 |
| 4 |
在 受信任實體類型下,選擇 AWS 帳戶。 |
| 5 |
選擇 另一個 AWS 帳戶。 |
| 6 |
在 帳號 ID 欄位中,輸入 Control Hub 介面中提供的 AWS 帳戶 ID。 這是方括號 |
| 7 |
按一下下一步。 |
| 8 |
在 新增權限下,搜尋並選擇您剛剛建立的 IAM 策略。 |
| 9 |
按一下下一步。 |
| 10 |
輸入角色名稱( )和可選的描述( ]) 。 |
| 11 |
查看您的設定並點擊 建立角色。 |
在開始之前
必須先建立 AWS KMS 金鑰,然後才能在 Control Hub 中啟動它。請參閱本文中的 「建立 AWS KMS 金鑰 」部分。
您必須向 Webex 提供 AWS KMS 金鑰的存取權限。請參閱本文中的 授權 Cisco KMS 存取 AWS KMS 金鑰 。
| 1 | |
| 2 |
前往 ,並切換 自備金鑰 (BYOK) 開啟。 如果停用 BYOK,則 Webex 通用預設金鑰 將成為您組織的主金鑰。 |
| 3 |
選擇 新增 AWS KMS 金鑰 並按一下 下一步。 |
| 4 |
從 AWS 主控台取得以下 ARN:
|
| 5 |
在 Control Hub 中,輸入 主鍵 ARN。如果適用,請在對應的欄位中輸入 備份金鑰 ARN 和 IAM 角色 ARN 。然後,點選 新增。 您的 主密鑰 ARN 將上傳到 Cisco KMS,在那裡驗證對密鑰的存取權。然後 Control Hub 會顯示您的新 AWS KMS 金鑰的 Cisco KMS 金鑰 ID,以及目前活動的 Cisco KMS 金鑰 ID(如果有)。 如果這是您的第一個 AWS KMS 金鑰,則目前活動的金鑰是 Webex 通用預設金鑰 (我們目前用於加密您組織金鑰的金鑰)。 |
| 6 |
選擇您希望如何啟動您的鑰匙:
|
| 1 |
登入 控制中心,然後前往 。 |
| 2 |
前往活動的 AWS KMS 金鑰。 |
| 3 |
點選 |
| 4 |
輸入您的新 AWS KMS 金鑰和新 ARN,然後按一下 新增。 本文中的 「新增和啟動您的 AMS KMS 金鑰 」部分描述了該過程。
|
| 5 |
按一下 啟動 。 您上傳的新 AWS KMS 金鑰將進入活動狀態。 舊的 AWS KMS 金鑰將保持輪換狀態,直到 Webex 使用新的活動 AWS KMS 金鑰完成對其所有內容的加密。重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 消失。 |
| 1 |
登入 控制中心,然後前往 。 |
| 2 |
點擊 新增另一個鍵。 |
| 3 |
輸入您的新 AWS KMS 金鑰,然後按一下 新增。 Control Hub 會顯示您的新 AWS KMS 金鑰的 Cisco KMS 金鑰 ID,以及目前活動的 Cisco KMS 金鑰 ID。 本文中的 「新增和啟動您的 AMS KMS 金鑰 」部分描述了該過程。 |
| 4 |
按一下 啟動 。 您上傳的新 AWS KMS 金鑰將進入活動狀態。 舊的 AWS KMS 金鑰將保持輪換狀態,直到 Webex 使用新的活動 AWS KMS 金鑰完成對其所有內容的加密。重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 消失。 |
| 1 |
登入 控制中心,然後前往 。 |
| 2 |
前往目前活動的 AWS KMS 金鑰。 |
| 3 |
按一下 |
| 4 |
確認撤銷密鑰。 完全撤銷您的鑰匙可能需要 10 分鐘。AWS KMS 金鑰進入本機撤銷狀態。
|
如果您的客戶管理員從 AWS KMS 主控台撤銷金鑰,則 AWS KMS 金鑰將顯示在 Control Hub 的「已由 Amazon 撤銷」狀態。
| 1 |
登入 控制中心,然後前往 。 |
| 2 |
前往已撤銷的 AWS KMS 金鑰。 |
| 3 |
點選 |
| 4 |
確認刪除密鑰。 密鑰刪除後,您可以在 30 天內恢復該密鑰。 |
我們建議您先從 Control Hub 刪除 AWS KMS 金鑰,然後再從 AWS 主控台中刪除 CMK。如果在 Control Hub 中刪除 AWS KMS 金鑰之前,從 AWS 控制台中刪除 CMK,則可能會遇到問題。
在從 AWS 主控台刪除 CMK 之前,請確保 AWS KMS 金鑰在 Control Hub 中不再可見。
| 1 |
登入 控制中心,然後前往 。 |
| 2 |
前往已刪除的 AWS KMS 金鑰。 |
| 3 |
點選 |
| 4 |
確認密鑰恢復。 恢復後,控制中心會將金鑰顯示為已撤銷狀態。 |
如果您的 AWS KMS 金鑰出現問題,請使用下列資訊進行故障排除。
-
AWS KMS 金鑰 ARN。例如,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。 -
AWS KMS金鑰狀態。例如,AWS KMS 金鑰已被停用。
本範例使用 OpenSSL 命令列工具 3.0 版本。有關這些工具的更多信息,請參閱 OpenSSL 。
| 1 | |
| 2 |
前往 。 |
| 3 |
點選 下載公鑰。 您可以在本機系統上找到以 .pem 檔案形式存在的 Webex HSM 公鑰。 |
| 4 |
建立一個 256 位元(32 位元組)金鑰: 此範例使用檔案名稱 main_key.bin 作為您的未加密新金鑰。 或者,您可以使用 Hex dump、Python 或線上產生器產生 32 位元組的隨機值。您 也可以建立和管理您的AWS KMS 金鑰。 |
| 5 |
使用 Webex HSM 公鑰加密您的新金鑰: 此範例使用檔案名稱 main_key_encrypted.bin 作為加密輸出金鑰,並使用檔案名稱 path/to/public.pem 用於 Webex 公鑰。 加密金鑰已準備就緒,您可以將其上傳到控制中心。 |
