Webex for Government 不支援此功能。

關於客戶主要金鑰

作為我們對端對端安全性承諾的一部分,Webex 代表每個組織持有一個主要金鑰。我們將其稱為主金鑰,因為它不會直接加密內容,而是用於加密貴組織的其他可加密內容的金鑰。金鑰階層的基本層級稱為內容金鑰 (CK),金鑰的中間層級稱為金鑰加密金鑰 (KEK)。

我們知道有些組織偏好管理自己的安全性,因此我們為您提供管理自己的客戶主金鑰 (CMK) 的選項。這表示您負責建立和輪替(重新加密)主要金鑰,Webex 用來加密您的內容加密金鑰。

今後,除非另有指定,否則金鑰是指 CMK。

操作方式

  1. Webex 將 CMK 保留在硬體安全性模組 (HSM) 中,以便 Webex 服務無法存取 CMK 值。

  2. Control Hub 會顯示您目前處於活動狀態或已撤銷的 CMK 以及儲存在 HSM 中的任何擱置 CMK。當您需要輪替(重新加密)CMK 時,您會產生新的 CMK 並使用 HSM 的公開金鑰對其進行加密,以便只有 HSM 可以解密和儲存它。

  3. 然後,您可以在 Control Hub 中上傳並啟用新的 CMK。Webex 會立即開始使用新的 CMK 來加密您的內容金鑰。Webex 會保留舊的 CMK,但僅在確定您的內容加密金鑰受到新的 CMK 保護為止。

我們不會追溯地重新加密所有現有內容。啟用 CMK 後,所有新內容(空間和會議)都會重新加密並受到保護。

關於 AWS KMS 金鑰

我們知道有些組織偏好在 Webex 之外管理自己的金鑰。因此,我們為您提供在 Amazon Web Services (AWS) 金鑰管理服務 (KMS) 中管理您自己的 CMK 的選項。這表示您負責管理 AWS KMS 中的金鑰。您授權 Webex 透過 AWS 主控台使用您的 AWS KMS 金鑰進行加密和解密。您向 Webex 提供您的 AWS KMS 金鑰 ID 而不是 CMK。這表示您負責建立和輪替(重新加密)AWS KMS 金鑰,Webex 使用它來加密雲端中的內容加密金鑰。

操作方式

  1. 您使用 AWS 建立金鑰。AWS KMS 用於管理您的金鑰,並將金鑰儲存在硬體安全性模組 (HSM) 中。

  2. 您可以透過 AWS 主控台為 Webex 提供使用 AWS KMS 金鑰的存取權。

    這表示您無需將 CMK 上傳至 Control Hub,而是向 Webex 提供對 AWS KMS 金鑰的存取權。AWS KMS 金鑰不會離開您的 AWS KMS,且 Webex 服務無權存取 AWS KMS 金鑰資料。

    Control Hub 會顯示您目前處於活動狀態或已撤銷的 AWS KMS 金鑰,以及儲存在 AWS KMS 中的任何擱置的 AWS KMS 金鑰。當您需要輪替 AWS KMS 金鑰時,您可以使用 AWS KMS 主控台產生新的 AWS KMS 金鑰。

  3. 然後,您在 Control Hub 中新增並啟動新的 AWS KMS 金鑰,並為其提供新的 AWS KMS 金鑰的 Amazon 資源名稱 (ARN)。Webex 會立即開始使用新的 AWS KMS 金鑰來加密您的內容金鑰。Webex 不再需要舊的 AWS KMS 金鑰。在您的內容加密金鑰輪替並由新的 AWS KMS 金鑰保護之後,舊的 AWS KMS 金鑰將從 Control Hub 中消失。Webex 不會從 AWS KMS 中刪除 AWS KMS 金鑰。您的客戶管理員可以從 AWS KMS 中移除金鑰。

按鍵狀態和生命週期

金鑰生命週期

按鍵狀態定義

擱置

處於此狀態的金鑰儲存在 HSM 中,但尚未用於加密。Webex 不會使用此 CMK 進行加密。

只能有一個按鍵處於此狀態。

作用中

Webex 目前正在使用此 CMK 來加密您組織的其他金鑰。

只能有一個按鍵處於此狀態。

旋轉

Webex 暫時使用此 CMK。Webex 需要它來解密先前由此金鑰加密的資料和金鑰。輪替(重新加密)完成後,此金鑰將棄用。

如果在輪替完成之前啟動了新金鑰,則多個金鑰可能處於此狀態。

已棄用

Webex 未使用此 CMK。此金鑰不再用於加密。已設定金鑰存留時間,之後會從 HSM 中移除此金鑰。

已撤銷

Webex 未使用此 CMK。即使有使用此金鑰加密的資料和金鑰,Webex 也無法使用它來解密資料和金鑰。

  • 僅當您懷疑使用中的金鑰已洩露時,才需要撤銷該金鑰。這是一個嚴肅的決定,因為它會阻止許多作業正常執行。譬如,您將無法建立新空間,也無法解密 Webex 用戶端中的任何內容。
  • 只能有一個按鍵處於此狀態。您必須重新啟動此金鑰以輪替(重新加密)新金鑰。
  • 可以刪除此 CMK,但您不必刪除它。您可能想要保留它,以便在解決可疑的安全性違規後解密/重新加密。
已刪除

Webex 未使用此 CMK。此狀態下的行為與已撤銷狀態相同,只是設定了金鑰存留時間,之後會從 HSM 中移除此金鑰。

  • 如果已刪除的 CMK 進展為已移除狀態,則您必須恢復原始金鑰以還原組織的功能。
  • 我們建議您保留原始金鑰的備份副本,否則您的組織將無法再運作。
已移除

這是邏輯狀態。Webex 未在 HSM 中儲存此 CMK。它不會顯示在 Control Hub 中。

需求

所有權

取得 CMK 的所有權後,您必須:

  • 負責安全地建立和備份金鑰
  • 了解遺失金鑰的影響
  • 最佳做法是每年至少重新加密一次作用中 CMK

金鑰建立

您必須使用這些參數建立自己的 CMK。您的金鑰必須是:

  • 256 位元(32 位元組)長
  • 已使用 RSA-OAEP 方案加密
  • 已使用 Webex 雲端 HSM 公開金鑰加密

您的金鑰產生軟體必須能夠:

  • SHA-256 雜湊函數
  • MGF1 遮罩產生功能
  • PKCS#1 OAEP 填充

請參閱範例:使用 OpenSSL 建立和加密金鑰 在本文的「資源」標籤中。

授權

您必須有權在 Control Hub 中存取您的 Webex 組織。您必須是完全管理員 以管理您的 CMK。

建立並啟動您的客戶主要金鑰
1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

若要啟用 BYOK,請切換自帶金鑰 (BYOK) 開啟。如果您停用 BYOK, Webex 通用預設金鑰 成為您組織的主要金鑰。

3

選取上傳自訂金鑰 並按一下下一頁

4

按一下下載公開金鑰

將 Webex HSM 公開金鑰儲存在本地系統上的 .pem 檔案中。

5

使用金鑰管理軟體建立加密安全的 256 位元(32 位元)隨機金鑰。

6

使用 Webex HSM 公開金鑰來加密您的新金鑰。

必需的加密參數為:

  • RSA-OAEP 方案
  • SHA-256 雜湊函數
  • MGF1 遮罩產生功能
  • PKCS#1 OAEP 填充
請參閱範例:使用 OpenSSL 建立和加密金鑰 在本文的「資源」標籤中。
7

將加密金鑰從檔案系統拖放至 Control Hub 介面的上傳區域,或按一下選擇檔案

8

按一下下一步

Webex 會將您的金鑰上傳至 HSM,然後在 HSM 中進行解密和驗證。然後,Control Hub 會向您顯示新 CMK 的 ID,以及目前作用中 CMK 的 ID(若有)。

如果這是您的第一個 CMK,則目前作用中的金鑰是Webex 通用預設金鑰 (我們目前用於加密組織金鑰的密鑰)。

9

選擇您要如何啟動金鑰:

  • 啟動新金鑰:新的 CMK 會立即進入 Active 狀態。先前作用中的 CMK 進入輪替(重新加密狀態),直到您的所有內容都受到新 CMK 的保護,之後 Webex 會刪除先前作用中的 CMK。
  • 稍後啟動:新的 CMK 移至「擱置」狀態。Webex 將此 CMK 保留在 HSM 中,但尚未使用它。Webex 會繼續使用目前作用中的 CMK 來加密組織的金鑰。

下一步

我們不會追溯地重新加密所有現有內容。啟用 CMK 後,所有新內容(空間和會議)都將重新加密並受到保護。

輪替您的金鑰
1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

3

移至作用中 CMK。

4

按一下「更多」功能表 並選取旋轉

5

建立並加密新金鑰(如果您尚未這樣做)。

該過程描述於建立並啟動您的客戶主要金鑰 在本文中。
6

將新金鑰從檔案系統拖放至 Control Hub。

7

按一下啟動新金鑰

您上傳的新金鑰會進入「作用中」狀態。

在 Webex 使用新的作用中 CMK 完成對其所有內容的加密之前,舊的 CMK 會保持輪替(重新加密狀態)。重新加密後,金鑰會進入「已淘汰」狀態。然後,Webex 會刪除舊的 CMK。

撤銷金鑰
1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

3

移至作用中金鑰。

4

按一下「更多」功能表 並選取撤銷

5

確認金鑰撤銷。

完全撤銷金鑰可能需要長達 10 分鐘的時間。
重新啟動撤銷的金鑰
1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

3

移至目前撤銷的金鑰。

4

按一下「更多」功能表 並選取啟動

5

確認金鑰啟用。

先前撤銷的金鑰進入「作用中」狀態。
刪除撤銷的金鑰
1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

3

移至撤銷的金鑰。

4

按一下「更多」功能表 並選取刪除

5

確認金鑰刪除。

刪除後,您可以選擇在 30 天內還原金鑰。
還原撤銷的金鑰
1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

3

移至已刪除的金鑰。

4

按一下「更多」功能表 並選取取消刪除

5

確認金鑰還原。

還原後,Control Hub 會向您顯示在刪除之前處於「已撤銷」狀態的金鑰。例如,如果您刪除撤銷的金鑰,然後還原該金鑰,則 Control Hub 會將還原的金鑰顯示為「已撤銷」狀態。

需求

所有權

取得 AWS KMS 金鑰的所有權後,您必須:

  • 負責安全地建立和備份您的 AWS KMS 金鑰。
  • 了解遺失 AWS KMS 金鑰的影響。
  • 最佳做法是每年至少重新加密使用中的 AMS KMS 金鑰一次。

授權

  • 您必須有權在 AWS KMS 中為您的 Webex 組織建立和管理金鑰。
  • 您必須有權在 Control Hub 中存取您的 Webex 組織。您必須是完全管理員 以管理您的 AWS KMS 金鑰。
建立 AWS KMS 金鑰
1

登入至AWS 並轉至 AWS KMS 主控台。

2

選取客戶管理的金鑰 然後按一下建立金鑰

3

使用以下屬性建立金鑰:

  • 金鑰類型—選取對稱
  • 金鑰用法—選取加密和解密
  • 進階選項 > 地區性 — 選取單一區域金鑰多區域金鑰
  • 標籤—輸入別名、描述和標籤。
  • 金鑰管理員 — 選取您組織的金鑰管理員使用者和角色。
  • 金鑰刪除—勾選允許金鑰管理員刪除此金鑰
  • 關鍵使用者 — 選取組織的關鍵使用者和角色。
4

按一下下一步

5

複查您的設定,然後按一下完成

您的 AWS KMS 金鑰已建立。
6

轉至客戶管理的金鑰 並按一下別名或金鑰 ID 以檢視 ARN。

下一步

我們建議您保留 ARN 的臨時副本。此 ARN 用於在 Control Hub 中新增和啟動您的 AWS KMS 金鑰。

我們還建議您建立備份金鑰以確保資料可用性和彈性。即使在區域性中斷期間,也可以存取加密的資料。有關更多資訊,請參閱建立備份 AWS KMS 金鑰 在本文中。

建立備份 AWS KMS 金鑰

開始之前

在繼續建立備份金鑰之前,請確保您已建立多區域金鑰。有關更多資訊,請參閱建立 AWS KMS 金鑰 在本文中。

1

登入至AWS 並轉至 AWS KMS 主控台。

2

選取新建立的多區域金鑰。

3

低於地區性,按一下建立新的副本金鑰

4

從 AWS 區域清單中選擇備份區域,然後按一下下一頁

例如,如果金鑰是在美國西部 (us-west-1) 建立的,請考慮在美國東部 (us-east-1) 建立備份金鑰。
5

使用以下屬性建立金鑰:

  • 標籤—輸入別名、描述和標籤。
  • 金鑰管理員 — 選取您組織的金鑰管理員使用者和角色。
  • 金鑰刪除—勾選允許金鑰管理員刪除此金鑰
  • 關鍵使用者 — 選取組織的關鍵使用者和角色。
6

按一下下一步

7

複查您的設定,勾選確認方塊,然後按一下建立新的副本金鑰

授權 Cisco KMS 存取 AWS KMS 金鑰
1

登入至AWS 並轉至 AWS CloudShell 主控台。

2

執行create-grant 以如下方式授權 Webex:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}
例如: 
aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

KMS_CISCO_USER_ARN 特定於您的組織。在 Control Hub 中啟動新的 AWK KMS 金鑰時,ARN 會顯示在「新增您的 AWS 金鑰」視窗中。

新增並啟動您的 AWS KMS 金鑰

開始之前

您必須先建立 AWS KMS 金鑰,然後在 Control Hub 中啟用它。請參閱建立 AWS KMS 金鑰 在本文中。

您必須向 Webex 提供對 AWS KMS 金鑰的存取權。請參閱授權 Cisco KMS 存取 AWS KMS 金鑰 在本文中。

1

登入 Control Hub。

2

轉至組織設定 >金鑰管理,然後切換自帶金鑰 (BYOK) 開啟。

如果您停用 BYOK, Webex 通用預設金鑰 成為您組織的主要金鑰。

3

選取新增 AWS KMS 金鑰 並按一下下一頁

4

從 AWS 主控台獲取 ARN。

5

在 Control Hub 中輸入 ARN,然後按一下新增

您的金鑰 ARN 會上傳至 Cisco KMS,在該處驗證對金鑰的存取權。然後,Control Hub 會向您顯示新的 AWS KMS 金鑰的 Cisco KMS 金鑰 ID,以及目前作用中的 Cisco KMS 金鑰 ID(如果有的話)。

如果這是您的第一個 AWS KMS 金鑰,則目前作用中的金鑰是Webex 通用預設金鑰 (我們目前用於加密組織金鑰的密鑰)。

6

選擇您要如何啟動金鑰:

  • 啟動:新的 AWS KMS 金鑰會立即進入 Active 狀態。
  • 稍後啟動:新的 AWS KMS 金鑰會進入「擱置」狀態。Webex 將此 AWS KMS 金鑰 ARN 保留在 Cisco KMS 中,但尚未使用它。Webex 會繼續使用目前作用中的 AWS KMS 金鑰來加密組織的金鑰。
輪替您的 AWS KMS 金鑰
1

登入至Control Hub ,然後轉至組織設定 >金鑰管理

2

轉至使用中的 AWS KMS 金鑰。

3

按一下「更多」功能表 並選取旋轉

4

輸入新的 AWS KMS 金鑰和新的 ARN,然後按一下新增

該過程描述於新增並啟動您的 AMS KMS 金鑰 在本文中。
5

按一下 啟動

您上傳的新 AWS KMS 金鑰會進入 Active 狀態。

舊的 AWS KMS 金鑰會保持在「正在輪換」狀態,直到 Webex 使用新的「使用中的 AWS KMS」金鑰完成對其所有內容的加密。重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 中消失。

輪替以新增另一個 AWS KMS 金鑰(可選)
1

登入至Control Hub ,然後轉至組織設定 >金鑰管理

2

按一下新增另一個金鑰

3

輸入新的 AWS KMS 金鑰,然後按一下新增

Control Hub 會向您顯示新的 AWS KMS 金鑰的 Cisco KMS 金鑰 ID,以及目前作用中的 Cisco KMS 金鑰 ID 的 ID。

該過程描述於新增並啟動您的 AMS KMS 金鑰 在本文中。

4

按一下 啟動

您上傳的新 AWS KMS 金鑰會進入 Active 狀態。

舊的 AWS KMS 金鑰會保持在「正在輪換」狀態,直到 Webex 使用新的「使用中的 AWS KMS」金鑰完成對其所有內容的加密。重新加密後,舊的 AWS KMS 金鑰會自動從 Control Hub 中消失。

撤銷您的 AWS KMS 金鑰
1

登入至Control Hub ,然後轉至組織設定 >金鑰管理

2

移至目前作用中的 AWS KMS 金鑰。

3

按一下「更多」功能表 並選取本地撤銷

4

確認金鑰撤銷。

完全撤銷金鑰可能需要長達 10 分鐘的時間。AWS KMS 金鑰進入本地撤銷狀態。

如果您的客戶管理員從 AWS KMS 主控台撤銷金鑰,則 AWS KMS 金鑰在 Control Hub 中顯示為「已被 Amazon 撤銷」狀態。

刪除您的 AWS KMS 金鑰
1

登入至Control Hub ,然後轉至組織設定 >金鑰管理

2

移至撤銷的 AWS KMS 金鑰。

3

按一下「更多」功能表 並選取刪除

4

確認金鑰刪除。

刪除後,您可以在 30 天內恢復金鑰。

我們建議您先從 Control Hub 刪除 AWS KMS 金鑰,然後再從 AWS 主控台刪除 CMK。如果您在刪除 Control Hub 中的 AWS KMS 金鑰之前先從 AWS 主控台刪除 CMK,則可能會遇到問題。

從 AWS 主控台刪除 CMK 之前,請確保 AWS KMS 金鑰不再顯示在 Control Hub 中。

還原您的 AWS KMS 金鑰
1

登入至Control Hub ,然後轉至組織設定 >金鑰管理

2

移至已刪除的 AWS KMS 金鑰。

3

按一下「更多」功能表 並選取取消刪除

4

確認金鑰還原。

還原後,Control Hub 會向您顯示處於「已撤銷」狀態的金鑰。

對您的 AWS KMS 金鑰進行疑難排解

如果您在使用 AWS KMS 金鑰時遇到問題,請使用以下資訊對其進行疑難排解。

  • AWS KMS 金鑰 ARN。例如,arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  • 授予 AWS KMS 金鑰

  • AWS KMS 金鑰狀態。例如,已停用 AWS KMS 金鑰。

範例:使用 OpenSSL 建立和加密金鑰

此範例使用 3.0 版 OpenSSL 指令行工具。請參閱OpenSSL 有關這些工具的更多資訊。

1

登入 Control Hub。

2

轉至組織設定 >金鑰管理

3

按一下下載公開金鑰

您會在本機系統上的 .pem 檔案中取得 Webex HSM 公開金鑰。

4

建立 256 位元(32 位元)金鑰:openssl rand -out main_key.bin 32.

該範例使用檔案名稱main_key.bin 為您未加密的新金鑰。

或者,您可以使用十六進位轉儲、 Python 或線上產生器產生 32 位元的隨機值。您也可以建立和管理您的 AWS KMS 金鑰

5

使用 Webex HSM 公開金鑰來加密您的新金鑰:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

該範例使用檔案名稱main_key_encrypted.bin 加密的輸出金鑰和檔案名稱path/to/public.pem Webex 公開金鑰。

已加密金鑰可供您上傳至 Control Hub。

相關閱讀資料