- Inicio
- /
- Artículo
Información nueva y modificada
Fecha | Cambios realizados | ||
---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
6 de marzo de 2019 |
| ||
28 de febrero de 2019. |
| ||
26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
5 de noviembre de 2018 |
| ||
19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de febrero de 2018 |
| ||
15 de febrero de 2018 |
| ||
18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode
en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode
y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode
configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.com
y unaciscospark.com
resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
8 |
Complete la configuración del clúster. | ||
9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:
| ||||||||||||
3 | Cuando se le solicite la contraseña, ingrese este hash:
| ||||||||||||
4 | Descargue la última imagen estable para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:
| ||||||||||||
15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija .El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
1 | Cargue el archivo ISO desde su computadora: |
2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
1 | Introduzca la URL de configuración del nodo de HDS |
2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Inicie sesión en https://admin.webex.com. |
2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
7 | Haga clic en Ir al nodo. |
8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
5 | |
6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup
objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
2 | Envíe mensajes al nuevo espacio. | ||
3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup
; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Estado del servicio, haga clic en Mover a producción. |
4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Desactivar, haga clic en Desactivar. |
4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
1 | Inicie sesión en el Control Hub. |
2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: |
4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
3 | Vaya a la página Almacén de confianza y proxy. |
4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
2 | Eliminar el nodo: |
3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
1 | Apague uno de sus nodos de HDS. |
2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
3 | Elija Archivo ISO del almacén de datos. y desmarque |
4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
2 | Muestre el certificado como texto y verifique los detalles.
|
3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
4 | Cree el archivo .p12 con el nombre descriptivo
|
5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12
y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:
) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss:
tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol
directiva squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf
. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Información nueva y modificada
Fecha | Cambios realizados | ||
---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
6 de marzo de 2019 |
| ||
28 de febrero de 2019. |
| ||
26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
5 de noviembre de 2018 |
| ||
19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de febrero de 2018 |
| ||
15 de febrero de 2018 |
| ||
18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode
en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode
y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode
configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.com
y unaciscospark.com
resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
8 |
Complete la configuración del clúster. | ||
9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:
| ||||||||||||
3 | Cuando se le solicite la contraseña, ingrese este hash:
| ||||||||||||
4 | Descargue la última imagen estable para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:
| ||||||||||||
15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija .El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
1 | Cargue el archivo ISO desde su computadora: |
2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
1 | Introduzca la URL de configuración del nodo de HDS |
2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Inicie sesión en https://admin.webex.com. |
2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
7 | Haga clic en Ir al nodo. |
8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
5 | |
6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup
objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
2 | Envíe mensajes al nuevo espacio. | ||
3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup
; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Estado del servicio, haga clic en Mover a producción. |
4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Desactivar, haga clic en Desactivar. |
4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
1 | Inicie sesión en el Control Hub. |
2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: |
4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
3 | Vaya a la página Almacén de confianza y proxy. |
4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
2 | Eliminar el nodo: |
3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
1 | Apague uno de sus nodos de HDS. |
2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
3 | Elija Archivo ISO del almacén de datos. y desmarque |
4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
2 | Muestre el certificado como texto y verifique los detalles.
|
3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
4 | Cree el archivo .p12 con el nombre descriptivo
|
5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12
y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:
) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss:
tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol
directiva squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf
. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Información nueva y modificada
Fecha | Cambios realizados | ||
---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
6 de marzo de 2019 |
| ||
28 de febrero de 2019. |
| ||
26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
5 de noviembre de 2018 |
| ||
19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de febrero de 2018 |
| ||
15 de febrero de 2018 |
| ||
18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode
en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode
y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode
configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.com
y unaciscospark.com
resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
8 |
Complete la configuración del clúster. | ||
9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:
| ||||||||||||
3 | Cuando se le solicite la contraseña, ingrese este hash:
| ||||||||||||
4 | Descargue la última imagen estable para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:
| ||||||||||||
15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija .El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
1 | Cargue el archivo ISO desde su computadora: |
2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
1 | Introduzca la URL de configuración del nodo de HDS |
2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Inicie sesión en https://admin.webex.com. |
2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
7 | Haga clic en Ir al nodo. |
8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
5 | |
6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup
objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
2 | Envíe mensajes al nuevo espacio. | ||
3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup
; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Estado del servicio, haga clic en Mover a producción. |
4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
2 | En Seguridad de datos híbridos, haga clic en Configuración. |
3 | En la sección Desactivar, haga clic en Desactivar. |
4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
1 | Inicie sesión en el Control Hub. |
2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: |
4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
3 | Vaya a la página Almacén de confianza y proxy. |
4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
2 | Eliminar el nodo: |
3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
1 | Apague uno de sus nodos de HDS. |
2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
3 | Elija Archivo ISO del almacén de datos. y desmarque |
4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
2 | Muestre el certificado como texto y verifique los detalles.
|
3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
4 | Cree el archivo .p12 con el nombre descriptivo
|
5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12
y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:
) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss:
tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol
directiva squid.conf
:
on_unsupported_protocol tunnel all
Calamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf
. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Información nueva y modificada
Fecha | Cambios realizados | ||
---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
6 de marzo de 2019 |
| ||
28 de febrero de 2019. |
| ||
26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
5 de noviembre de 2018 |
| ||
19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
11 de abril de 2018 |
| ||
22 de febrero de 2018 |
| ||
15 de febrero de 2018 |
| ||
18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode
en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode
y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode
configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.com
y unaciscospark.com
resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
8 |
Complete la configuración del clúster. | ||
9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Proxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Proxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:
| ||||||||||||
3 | Cuando se le solicite la contraseña, ingrese este hash:
| ||||||||||||
4 | Descargue la última imagen estable para su entorno: En entornos regulares:
En entornos FedRAMP:
| ||||||||||||
5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:
| ||||||||||||
15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija .El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
1 | Cargue el archivo ISO desde su computadora: |
2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
1 | Introduzca la URL de configuración del nodo de HDS |
2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
1 | Inicie sesión en https://admin.webex.com. |
2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
7 | Haga clic en Ir al nodo. |
8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts |