セキュリティ レルムのアーキテクチャ
Cisco Webex のクラウド アーキテクチャでは、次に示すように、サービスがタイプ別に異なるレルム、つまり信頼ドメインに分離されます。
Hybrid Data Security について理解を深めるため、最初にクラウドのレルム内でシスコのすべての機能が提供される純粋なクラウドの場合を見てみましょう。アイデンティティ サービスは、ユーザを電子メール アドレスなどの個人情報と直接関連付けることができる唯一の場所であり、データ センター B のセキュリティ レルムから論理的にも物理的にも分離されています。さらにこの 2 つのレルムも、暗号化されたコンテンツが最終的に保管されるデータ センター C のレルムから分離されています。
この図では、クライアントはユーザのラップトップ上で Cisco Webex アプリ を実行しており、アイデンティティ サービスによって認証されています。ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。
-
クライアントがキー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。このセキュア接続では ECDH が使用され、KMS は AES-256 マスター キーを使用してキーを暗号化します。
-
メッセージがクライアントから送信される前に暗号化されます。クライアントがインデックス サービスにメッセージを送信します。インデックス サービスは、その後のコンテンツ検索を支援するために暗号化された検索インデックスを作成します。
-
暗号化されたメッセージがコンプライアンス チェックのためにコンプライアンス サービスに送信されます。
-
暗号化されたメッセージが保管用のレルムに格納されます。
Hybrid Data Security を導入する場合は、セキュリティ レルムの機能(KMS、インデックス作成、およびコンプライアンス)をオンプレミスのデータ センターに移動します。Cisco Webex を構成するその他のクラウド サービス(アイデンティティとコンテンツの保管を含む)は、シスコのレルムに残ります。