Es posible que algunos artículos muestren el contenido de forma incoherente. Le pedimos disculpas mientras actualizamos nuestro sitio.
cross icon
En este artículo
dropdown icon
Prólogo
    Información nueva y modificada
    dropdown icon
    Comenzar con la seguridad de datos híbridos
      Descripción general de la seguridad de datos híbridos
        dropdown icon
        Arquitectura del dominio de seguridad
          Dominios de separación (sin seguridad de datos híbridos)
        Colaborar con otras organizaciones
          Expectativas para la implementación de la seguridad de datos híbridos
            Proceso de configuración de alto nivel
              dropdown icon
              Modelo de implementación de la seguridad de datos híbridos.
                Modelo de implementación de la seguridad de datos híbridos.
              Modo de prueba de seguridad de datos híbridos
                dropdown icon
                Centro de datos de espera para la recuperación de desastres
                  Configurar el centro de datos de espera para la recuperación de desastres
                Soporte de proxy
                dropdown icon
                Preparar su entorno
                  dropdown icon
                  Requisitos para la seguridad de datos híbridos
                    Requisitos de licencias de Cisco Webex
                    Requisitos del escritorio de Docker
                    Requisitos del certificado X.509
                    Requisitos del host virtual
                    Requisitos del servidor de bases de datos
                    Requisitos de conectividad externa
                    Requisitos del servidor proxy
                  Completar los requisitos previos para la seguridad de datos híbridos
                  dropdown icon
                  Configurar un grupo de seguridad de datos híbridos
                    Flujo de tareas de implementación de la Seguridad de datos híbridos
                      Descargar archivos de instalación
                        Crear un archivo ISO de configuración para los hosts HDS
                          Instalar el OVA del host HDS
                            Configurar la máquina virtual de Seguridad de datos híbridos
                              Cargar y montar el archivo ISO de configuración de HDS
                                Configurar el nodo de HDS para la integración de proxy
                                  Registrar el primer nodo en el grupo
                                    Crear y registrar más nodos
                                    dropdown icon
                                    Ejecutar una prueba y pasar a producción
                                      Flujo de tareas de prueba a producción
                                        Activar prueba
                                          Pruebe su implementación de seguridad de datos híbridos
                                            Monitorear el estado de seguridad de datos híbridos
                                              Agregar o eliminar usuarios de su prueba
                                                Pasar de prueba a producción
                                                  Finalizar la prueba sin pasar a producción
                                                  dropdown icon
                                                  Administrar su implementación de HDS
                                                    Administrar implementaciones de HDS
                                                      Definir planificación para mejorar grupos
                                                        Cambiar la configuración del nodo
                                                          Desactivar el modo de resolución de DNS externo bloqueado
                                                            Eliminar un nodo
                                                              Recuperación de desastres mediante el centro de datos de modo de espera
                                                                (Opcional) Desmontar ISO después de la configuración de HDS
                                                                dropdown icon
                                                                Resolución de problemas de seguridad de datos híbridos
                                                                  Ver alertas y resolver problemas
                                                                    dropdown icon
                                                                    de alertas
                                                                      Problemas comunes y los pasos para resolverlos
                                                                    Resolución de problemas de seguridad de datos híbridos
                                                                    dropdown icon
                                                                    Otras notas
                                                                      Problemas conocidos con la seguridad de datos híbridos
                                                                        Use OpenSSL para generar un archivo PKCS12
                                                                          Tráfico entre los nodos de HDS y la nube
                                                                            dropdown icon
                                                                            Configurar proxies squid para la seguridad de datos híbridos
                                                                              WebSocket no se puede conectar a través de proxy Squid
                                                                          En este artículo
                                                                          cross icon
                                                                          dropdown icon
                                                                          Prólogo
                                                                            Información nueva y modificada
                                                                            dropdown icon
                                                                            Comenzar con la seguridad de datos híbridos
                                                                              Descripción general de la seguridad de datos híbridos
                                                                                dropdown icon
                                                                                Arquitectura del dominio de seguridad
                                                                                  Dominios de separación (sin seguridad de datos híbridos)
                                                                                Colaborar con otras organizaciones
                                                                                  Expectativas para la implementación de la seguridad de datos híbridos
                                                                                    Proceso de configuración de alto nivel
                                                                                      dropdown icon
                                                                                      Modelo de implementación de la seguridad de datos híbridos.
                                                                                        Modelo de implementación de la seguridad de datos híbridos.
                                                                                      Modo de prueba de seguridad de datos híbridos
                                                                                        dropdown icon
                                                                                        Centro de datos de espera para la recuperación de desastres
                                                                                          Configurar el centro de datos de espera para la recuperación de desastres
                                                                                        Soporte de proxy
                                                                                        dropdown icon
                                                                                        Preparar su entorno
                                                                                          dropdown icon
                                                                                          Requisitos para la seguridad de datos híbridos
                                                                                            Requisitos de licencias de Cisco Webex
                                                                                            Requisitos del escritorio de Docker
                                                                                            Requisitos del certificado X.509
                                                                                            Requisitos del host virtual
                                                                                            Requisitos del servidor de bases de datos
                                                                                            Requisitos de conectividad externa
                                                                                            Requisitos del servidor proxy
                                                                                          Completar los requisitos previos para la seguridad de datos híbridos
                                                                                          dropdown icon
                                                                                          Configurar un grupo de seguridad de datos híbridos
                                                                                            Flujo de tareas de implementación de la Seguridad de datos híbridos
                                                                                              Descargar archivos de instalación
                                                                                                Crear un archivo ISO de configuración para los hosts HDS
                                                                                                  Instalar el OVA del host HDS
                                                                                                    Configurar la máquina virtual de Seguridad de datos híbridos
                                                                                                      Cargar y montar el archivo ISO de configuración de HDS
                                                                                                        Configurar el nodo de HDS para la integración de proxy
                                                                                                          Registrar el primer nodo en el grupo
                                                                                                            Crear y registrar más nodos
                                                                                                            dropdown icon
                                                                                                            Ejecutar una prueba y pasar a producción
                                                                                                              Flujo de tareas de prueba a producción
                                                                                                                Activar prueba
                                                                                                                  Pruebe su implementación de seguridad de datos híbridos
                                                                                                                    Monitorear el estado de seguridad de datos híbridos
                                                                                                                      Agregar o eliminar usuarios de su prueba
                                                                                                                        Pasar de prueba a producción
                                                                                                                          Finalizar la prueba sin pasar a producción
                                                                                                                          dropdown icon
                                                                                                                          Administrar su implementación de HDS
                                                                                                                            Administrar implementaciones de HDS
                                                                                                                              Definir planificación para mejorar grupos
                                                                                                                                Cambiar la configuración del nodo
                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado
                                                                                                                                    Eliminar un nodo
                                                                                                                                      Recuperación de desastres mediante el centro de datos de modo de espera
                                                                                                                                        (Opcional) Desmontar ISO después de la configuración de HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Resolución de problemas de seguridad de datos híbridos
                                                                                                                                          Ver alertas y resolver problemas
                                                                                                                                            dropdown icon
                                                                                                                                            de alertas
                                                                                                                                              Problemas comunes y los pasos para resolverlos
                                                                                                                                            Resolución de problemas de seguridad de datos híbridos
                                                                                                                                            dropdown icon
                                                                                                                                            Otras notas
                                                                                                                                              Problemas conocidos con la seguridad de datos híbridos
                                                                                                                                                Use OpenSSL para generar un archivo PKCS12
                                                                                                                                                  Tráfico entre los nodos de HDS y la nube
                                                                                                                                                    dropdown icon
                                                                                                                                                    Configurar proxies squid para la seguridad de datos híbridos
                                                                                                                                                      WebSocket no se puede conectar a través de proxy Squid

                                                                                                                                                  Guía de implementación para la seguridad de datos híbridos de Webex

                                                                                                                                                  list-menuEn este artículo
                                                                                                                                                  list-menu¿Comentarios?
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Empiece con la seguridad híbrida de datos

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de plataforma en los nodos para la administración de certificados y para comprobar el estado general de conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, "Docker está actualizando y ampliando nuestras suscripciones de productos".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de socket web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de Docker Desktop.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Tenga en cuenta que puede reutilizar el archivo de clave privada y la CSR para solicitar otro certificado. Consulte Use OpenSSL to Generate a PKCS12 File para obtener más detalles.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se ha cambiado el requisito de espacio en disco duro local de la máquina virtual a 30 GB. Consulte Requisitos del host virtual para obtener más detalles.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  HDS Setup Tool ahora puede ejecutarse detrás de un proxy. Consulte Create a Configuration ISO for the HDS Hosts para obtener más detalles.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  Ahora HDS puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Unmount ISO After HDS Configuration para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se ha añadido información sobre la herramienta HDS Setup y los proxies a Crear una ISO de configuración para los hosts HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualizado Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Actualizado Crear una ISO de Configuración para los Hosts HDS y Cambiar la Configuración del Nodo con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Actualizado Crear una ISO de configuración para los hosts HDS y Cambiar la configuración del nodo con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualizado Pruebe su despliegue de seguridad de datos híbridos para los cambios en los mensajes de registro.

                                                                                                                                                  Actualizado Virtual Host Requirements para eliminar el número máximo de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Actualizado Eliminar un nodo para los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Actualizado Create a Configuration ISO for the HDS Hosts para los cambios en la Configuración Avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Actualizado Create a Configuration ISO for the HDS Hosts para mostrar que también se puede utilizar TLS con bases de datos SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Actualizado Virtual Host Requirements para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualizado Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualizado Requisitos de conectividad externa con información sobre hosts CI regionales.

                                                                                                                                                  20 de febrero de 2020Actualizado Create a Configuration ISO for the HDS Hosts con información sobre la nueva pantalla opcional Advanced Settings de HDS Setup Tool.
                                                                                                                                                  4 de febrero de 2020Actualizado Requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Aclarado el requisito para que funcione el modo de resolución de DNS externo bloqueado en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019.

                                                                                                                                                  Se ha añadido información sobre el modo de resolución DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019.

                                                                                                                                                  Ahora puede configurar los ajustes de red de un nodo mientras despliega el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado en consecuencia las secciones siguientes:


                                                                                                                                                   

                                                                                                                                                  La opción de configurar los ajustes de red durante la implantación de OVA se ha probado con ESXi 6.5. Es posible que esta opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019.

                                                                                                                                                  Añadido SQL Server Standard a Requisitos del servidor de base de datos.

                                                                                                                                                  29 de agosto de 2019.Añadido Configure Squid Proxies for Hybrid Data Security appendix with guidance on configuring Squid proxies to ignore websocket traffic for proper operation.
                                                                                                                                                  20 de agosto de 2019.

                                                                                                                                                  Se han añadido y actualizado secciones para cubrir la compatibilidad del proxy con las comunicaciones del nodo de seguridad de datos híbridos con la nube Webex.

                                                                                                                                                  Para acceder sólo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda Proxy Support for Hybrid Data Security and Webex Video Mesh .

                                                                                                                                                  13 de junio de 2019Actualizado Flujo de tareas de prueba a producción con un recordatorio para sincronizar el objeto de grupo HdsTrialGroup antes de iniciar una prueba si su organización utiliza la sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se ha corregido la cantidad de espacio en disco duro local por servidor que se debe reservar al preparar los hosts virtuales que se convierten en los nodos de Hybrid Data Security, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos híbridos de seguridad de datos ahora admiten conexiones cifradas con servidores de bases de datos PostgreSQL y conexiones de registro cifradas con un servidor syslog compatible con TLS. Actualizado Create a Configuration ISO for the HDS Hosts con instrucciones.

                                                                                                                                                  • Se han eliminado las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos híbridos de seguridad de datos". La tabla ahora hace referencia a la lista mantenida en la tabla "Additional URLs for Webex Teams Hybrid Services" de Network Requirements for Webex Teams Services.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (Always On Failover Clusters y Always on Availability Groups) es compatible con los controladores JDBC que se utilizan en Hybrid Data Security. Añadido contenido relacionado con el despliegue con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Cambio de terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security es ahora Hybrid Data Security.

                                                                                                                                                  • La aplicación Cisco Spark es ahora la aplicación Webex App.

                                                                                                                                                  • La nube Cisco Collaboraton es ahora la nube Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Aclarada la sincronización de directorios del HdsTrialGroup.

                                                                                                                                                  • Se han corregido las instrucciones para cargar el archivo de configuración ISO para el montaje en los nodos VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Empiece con la seguridad híbrida de datos

                                                                                                                                                  Visión general de la seguridad de los datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el objetivo principal en el diseño de Webex App. La piedra angular de esta seguridad es el cifrado de contenidos de extremo a extremo, habilitado por los clientes de Webex App que interactúan con el servicio de gestión de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  Por defecto, todos los clientes de Webex App obtienen cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del ámbito de seguridad

                                                                                                                                                  La arquitectura de la nube de Webex separa los distintos tipos de servicio en reinos independientes, o dominios de confianza, como se muestra a continuación.

                                                                                                                                                  Ámbitos de separación (sin seguridad híbrida de datos)

                                                                                                                                                  Para comprender mejor la seguridad híbrida de los datos, veamos primero este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como la dirección de correo electrónico, está lógica y físicamente separado del ámbito de seguridad en el centro de datos B. Ambos están a su vez separados del ámbito donde se almacenan en última instancia los contenidos cifrados, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación Webex que se ejecuta en el portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviarlo a un espacio, se producen los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de gestión de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave utilizando una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se encripta antes de salir del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para facilitar futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de verificación de la conformidad para que lo compruebe.

                                                                                                                                                  4. El mensaje cifrado se almacena en el ámbito de almacenamiento.

                                                                                                                                                  Cuando implanta Hybrid Data Security, traslada las funciones del ámbito de la seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los demás servicios en la nube que componen Webex (incluidos los de identidad y almacenamiento de contenidos) permanecen en el ámbito de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente Webex App para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creado por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización posee la clave para el espacio, su KMS enruta la solicitud a la nube Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado, y luego devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio KMS que se ejecuta en Org A valida las conexiones con los KMS de otras organizaciones utilizando certificados x.509 PKI. Consulte Prepare su entorno para obtener información detallada sobre la generación de un certificado x.509 para utilizarlo con la implantación de Hybrid Data Security.

                                                                                                                                                  Expectativas de implantación de la seguridad híbrida de los datos

                                                                                                                                                  Una implantación de seguridad de datos híbrida requiere un compromiso significativo por parte del cliente y ser consciente de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implantar Hybrid Data Security, debe proporcionar:

                                                                                                                                                  La pérdida total de la ISO de configuración que construya para Hybrid Data Security o de la base de datos que proporcione provocará la pérdida de las claves. La pérdida de claves impide a los usuarios descifrar el contenido del espacio y otros datos cifrados en Webex App. Si esto ocurre, puede crear una nueva implantación, pero sólo será visible el nuevo contenido. Para evitar la pérdida de acceso a los datos, debes:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la ISO de configuración.

                                                                                                                                                  • Esté preparado para llevar a cabo una rápida recuperación en caso de catástrofe, como un fallo en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No existe ningún mecanismo para volver a mover las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y gestión de un despliegue de Seguridad de Datos Híbrida:

                                                                                                                                                  • Configurar Hybrid Data Security- Esto incluye preparar la infraestructura necesaria e instalar el software Hybrid Data Security, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización en usuaria de su clúster Hybrid Data Security para las funciones de seguridad.

                                                                                                                                                    Las fases de instalación, prueba y producción se tratan con detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implantación de seguridad de datos híbrida-La nube Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar asistencia de primer nivel para esta implantación y contratar asistencia de Cisco en caso necesario. Puedes utilizar notificaciones en pantalla y configurar alertas por correo electrónico en Control Hub.

                                                                                                                                                  • Comprenda las alertas comunes, los pasos para solucionar problemas y los problemas conocidos-Si tiene problemas al implementar o utilizar Hybrid Data Security, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo híbrido de implantación de la seguridad de los datos

                                                                                                                                                  En el centro de datos de su empresa, despliegue Hybrid Data Security como un único clúster de nodos en hosts virtuales independientes. Los nodos se comunican con la nube Webex a través de websockets seguros y HTTP seguro.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que nos proporcione. Utilice HDS Setup Tool para crear un archivo ISO de configuración de clúster personalizado que montará en cada nodo. El clúster híbrido de seguridad de datos utiliza el servidor Syslogd y la base de datos PostgreSQL o Microsoft SQL Server proporcionados. (Los detalles de la conexión a Syslogd y a la base de datos se configuran en la Herramienta de configuración de HDS).

                                                                                                                                                  Modelo híbrido de implantación de la seguridad de los datos

                                                                                                                                                  El número mínimo de nodos que puede tener un clúster es dos. Recomendamos al menos tres, y puedes tener hasta cinco. Disponer de varios nodos garantiza que el servicio no se interrumpa durante una actualización de software u otra actividad de mantenimiento en un nodo. (La nube Webex sólo actualiza un nodo cada vez).

                                                                                                                                                  Todos los nodos de un clúster acceden al mismo almacén de datos de claves y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y gestionan las solicitudes de claves de forma rotatoria, según las instrucciones de la nube.

                                                                                                                                                  Los nodos se activan cuando los registras en Control Hub. Para dejar un nodo fuera de servicio, puede darlo de baja y volver a darlo de alta más tarde si es necesario.

                                                                                                                                                  Sólo admitimos un único clúster por organización.

                                                                                                                                                  Modo de prueba de la seguridad de datos híbrida

                                                                                                                                                  Después de configurar un despliegue de Seguridad de Datos Híbrida, primero se prueba con un conjunto de usuarios piloto. Durante el periodo de prueba, estos usuarios utilizan su dominio local de Hybrid Data Security para las claves de cifrado y otros servicios del ámbito de la seguridad. Los demás usuarios siguen utilizando el ámbito de seguridad de la nube.

                                                                                                                                                  Si decides no continuar con la implantación durante el periodo de prueba y desactivas el servicio, los usuarios piloto y cualquier usuario con el que hayan interactuado creando nuevos espacios durante el periodo de prueba perderán el acceso a los mensajes y contenidos. Verán "Este mensaje no puede descifrarse" en la aplicación Webex.

                                                                                                                                                  Si está convencido de que la implantación funciona correctamente para los usuarios de prueba y está preparado para ampliar Hybrid Data Security a todos sus usuarios, pase la implantación a producción. Los usuarios piloto siguen teniendo acceso a las claves que estaban en uso durante la prueba. Sin embargo, no puede pasar del modo de producción al modo de prueba original. Si debe desactivar el servicio, por ejemplo para realizar una recuperación de desastres, cuando lo reactive deberá iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. El hecho de que los usuarios conserven el acceso a los datos en este punto depende de si ha mantenido correctamente las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de Hybrid Data Security de su clúster.

                                                                                                                                                  Centro de datos de reserva para recuperación en caso de catástrofe

                                                                                                                                                  Durante la implantación, se configura un centro de datos de reserva seguro. En caso de desastre en un centro de datos, puede conmutar manualmente la implantación al centro de datos de reserva.

                                                                                                                                                  Antes de la conmutación por error, el centro de datos A tiene nodos HDS activos y la base de datos primaria PostgreSQL o Microsoft SQL Server, mientras que B tiene una copia del archivo ISO con configuraciones adicionales, máquinas virtuales registradas en la organización y una base de datos en espera. Después de la conmutación por error, el centro de datos B tiene nodos HDS activos y la base de datos primaria, mientras que A tiene máquinas virtuales no registradas y una copia del archivo ISO, y la base de datos está en modo de espera.
                                                                                                                                                  Conmutación manual al centro de datos de reserva

                                                                                                                                                  Las bases de datos de los centros de datos activo y en espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos están registrados en la organización, pero no gestionarán el tráfico. De este modo, los nodos del centro de datos de reserva permanecen siempre actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos activos de Hybrid Data Security deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar un centro de datos de reserva para la recuperación en caso de catástrofe

                                                                                                                                                  Siga los pasos que se indican a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de empezar

                                                                                                                                                  • El centro de datos de reserva debe reflejar el entorno de producción de máquinas virtuales y una copia de seguridad de la base de datos PostgreSQL o Microsoft SQL Server. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debe tener 3 máquinas virtuales. (Véase Standby Data Center for Disaster Recovery para una visión general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de bases de datos está activada entre la base de datos de los nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta HDS Setup y siga los pasos mencionados en Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario sobre el que se van a realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Advanced Settings

                                                                                                                                                  3

                                                                                                                                                  En la página Advanced Settings , añada la siguiente configuración para poner el nodo en modo pasivo. En este modo, el nodo estará registrado en la organización y conectado a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                   passiveMode: verdadero 

                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantén segura la copia de seguridad. Este archivo contiene una clave de encriptación maestra para el contenido de la base de datos. Restrinja el acceso sólo a aquellos administradores de Hybrid Data Security que deban realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente VMware vSphere, haga clic con el botón derecho en la VM y haga clic en Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Edit Settings >CD/DVD Drive 1 y seleccione Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que Conectado y Conectar al encender están marcadas para que los cambios de configuración actualizados puedan tener efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no hay alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Comprueba los syslogs para verificar que los nodos están en modo pasivo. Debería poder ver el mensaje "KMS configurado en modo pasivo" en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin la configuración passiveMode y guardarla en una ubicación segura. Esta copia del archivo ISO sin passiveMode configurado puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Disaster Recovery using Standby Data Center para conocer el procedimiento detallado de conmutación por error.

                                                                                                                                                  Compatibilidad de proxy

                                                                                                                                                  La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy-El valor predeterminado si no se utiliza la configuración Trust Store & Proxy del nodo HDS para integrar un proxy. No es necesaria la actualización del certificado.

                                                                                                                                                  • Proxy transparente no inspector-Los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deberían requerir ningún cambio para funcionar con un proxy no inspector. No es necesaria la actualización del certificado.

                                                                                                                                                  • Túnel transparente o proxy de inspección-Los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito-Con el proxy explícito, se indica a los nodos HDS qué servidor proxy y esquema de autenticación utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. Proxy IP/FQDN-Dirección que puede utilizarse para acceder a la máquina proxy.

                                                                                                                                                    2. Puerto proxy-Número de puerto que el proxy utiliza para escuchar el tráfico proxy.

                                                                                                                                                    3. Protocolo Proxy-En función de lo que admita su servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: permite ver y controlar todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación-Elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno- No se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Basic-Se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Digest-Se utiliza para confirmar la cuenta antes de enviar información sensible. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo de proxy.

                                                                                                                                                        Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)

                                                                                                                                                  Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de los datos híbridos

                                                                                                                                                  Requisitos de licencia de Cisco Webex

                                                                                                                                                  Para desplegar Hybrid Data Security:

                                                                                                                                                  Requisitos de Docker Desktop

                                                                                                                                                  Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker ha actualizado recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".

                                                                                                                                                  Requisitos de los certificados X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de los certificados X.509 para el despliegue híbrido de seguridad de datos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una Autoridad de Certificación (CA) de confianza

                                                                                                                                                  Por defecto, confiamos en las CA de la lista de Mozilla (a excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bears a Common Name (CN) domain name that identifies your Hybrid Data Security deployment (Bears un nombre de dominio común (CN) que identifique su implantación de seguridad de datos híbrida)

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que la CN sea accesible o un host activo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo, hds.company.com.

                                                                                                                                                  El CN no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de Hybrid Data Security a los clientes de Webex App. Todos los nodos de Hybrid Data Security de su clúster utilizan el mismo certificado. Su KMS se identifica utilizando el dominio CN, no cualquier dominio que esté definido en los campos SAN x.509v3.

                                                                                                                                                  Una vez registrado un nodo con este certificado, no es posible cambiar el nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a la implantación de prueba como a la de producción.

                                                                                                                                                  • Firma no SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido por contraseña

                                                                                                                                                  • Utilice el nombre descriptivo de kms-private-key para etiquetar el certificado, la clave privada y cualquier certificado intermedio que desee cargar.

                                                                                                                                                  Puede utilizar un conversor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute HDS Setup Tool.

                                                                                                                                                  El software KMS no impone restricciones de uso de claves ni de uso de claves ampliadas. Algunas autoridades de certificación exigen que se apliquen restricciones de uso de claves ampliadas a cada certificado, como la autenticación del servidor. Está bien utilizar la autenticación del servidor u otras configuraciones.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de Hybrid Data Security en su clúster tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts independientes (se recomiendan 3) ubicados en el mismo centro de datos seguro.

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en funcionamiento.


                                                                                                                                                     

                                                                                                                                                    Debe actualizar si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Crear una nueva base de datos para el almacenamiento de claves. No utilices la base de datos por defecto. Las aplicaciones HDS, una vez instaladas, crean el esquema de la base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en funcionamiento.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y Cumulative Update 2 o posterior.

                                                                                                                                                  Mínimo 8 vCPUs, 16-GB de memoria principal, suficiente espacio en disco duro y monitorización para asegurar que no se excede (2-TB recomendados si se quiere ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento).

                                                                                                                                                  Mínimo 8 vCPUs, 16-GB de memoria principal, suficiente espacio en disco duro y monitorización para asegurar que no se excede (2-TB recomendados si se quiere ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento).

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controladores para la comunicación con el servidor de bases de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador Postgres JDBC 42.2.5

                                                                                                                                                  Controlador JDBC 4.6 de SQL Server

                                                                                                                                                  Esta versión del controlador es compatible con SQL Server Always On ( Always On Failover Cluster Instances y Always On availability groups).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos HDS utilicen la autenticación de Windows para acceder a su base de datos de almacén de claves en Microsoft SQL Server, entonces necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos HDS, la infraestructura Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos HDS deben ser capaces de resolver su Centro de Distribución de Claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de base de datos HDS en su Microsoft SQL Server como un Service Principal Name (SPN) en su Active Directory. Consulte Registrar un nombre de entidad de seguridad de servicio para conexiones Kerberos.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos de almacenes de claves. Utilizan los detalles de su configuración ISO para construir el SPN cuando solicitan acceso con autenticación Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su cortafuegos para permitir la siguiente conectividad para las aplicaciones HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocol

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección de la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos híbridos de seguridad de datos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente y WSS

                                                                                                                                                  • Servidores Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los anfitriones de Identidad Común

                                                                                                                                                  • Otras URL que figuran para la seguridad de datos híbrida en la tabla URL adicionales para los servicios híbridos Webex de Requisitos de red para los servicios Webex

                                                                                                                                                  Herramienta de configuración HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los anfitriones de Identidad Común

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos híbridos de seguridad de datos funcionan con traducción de acceso a la red (NAT) o detrás de un cortafuegos, siempre que el NAT o el cortafuegos permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceder a los nodos de Hybrid Data Security en los puertos TCP 443 y 22, con fines administrativos.

                                                                                                                                                  Las URL de los hosts de Identidad Común (CI) son específicas de cada región. Estos son los hosts CI actuales:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad comunes

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.

                                                                                                                                                    • Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.

                                                                                                                                                    • Proxy explícito: squid.


                                                                                                                                                       

                                                                                                                                                      Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir en el establecimiento de conexiones websocket (wss:). Para solucionar este problema, consulte Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Autenticación de compendio solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.

                                                                                                                                                  • Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar) el tráfico a wbx2.com y ciscospark.com se resolverá el problema.

                                                                                                                                                  Cumplir los requisitos previos para la seguridad híbrida de datos

                                                                                                                                                  Utilice esta lista de comprobación para asegurarse de que está preparado para instalar y configurar su clúster híbrido de seguridad de datos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrate de que tu organización Webex está habilitada para Pro Pack para Cisco Webex Control Hub y obtén las credenciales de una cuenta con plenos derechos de administrador de la organización. Póngase en contacto con su partner o gestor de cuentas de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo, hds.company.com) y obtenga una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de Hybrid Data Security en su clúster. Necesita al menos dos hosts independientes (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan los requisitos de Virtual Host Requirements.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos . El servidor de base de datos debe colocarse en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Crear una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, cuando se instalan, crean el esquema de la base de datos).

                                                                                                                                                  2. Recopila los datos que utilizarán los nodos para comunicarse con el servidor de la base de datos:

                                                                                                                                                    • el nombre del host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación en caso de desastre, establezca un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debe tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del clúster. Recoge su dirección de red y el puerto syslog (por defecto es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una política de copia de seguridad segura para los nodos de Hybrid Data Security, el servidor de base de datos y el host de syslog. Como mínimo, para evitar la pérdida irrecuperable de datos, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de Hybrid Data Security.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas en el cifrado y descifrado de contenidos, si no se mantiene un despliegue operativo se producirá la PÉRDIDA INCORRUPORABLE de dichos contenidos.

                                                                                                                                                  Los clientes de Webex App almacenan en caché sus claves, por lo que una interrupción puede no ser inmediatamente perceptible, pero se hará evidente con el tiempo. Aunque los cortes temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida total (sin copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración provocará la irrecuperabilidad de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración del cortafuegos permite la conectividad de los nodos de Hybrid Data Security, tal y como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar HDS Setup Tool, que genera la información de configuración local para todos los nodos de Hybrid Data Security. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Docker Desktop Requirements para obtener más información.

                                                                                                                                                  Para instalar y ejecutar HDS Setup Tool, el equipo local debe tener la conectividad indicada en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si va a integrar un proxy con Hybrid Data Security, asegúrese de que cumple los requisitos de Proxy Server Requirements.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y añada usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El objeto HdsTrialGroup debe estar sincronizado con la nube antes de que pueda iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el menú Configuration > Object Selection del Conector de directorios. (Para obtener instrucciones detalladas, consulte la Guía de implantación de Cisco Directory Connector en .)


                                                                                                                                                   

                                                                                                                                                  Las claves de un espacio determinado las establece el creador del mismo. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implantación de Seguridad híbrida de datos, todos los usuarios perderán el acceso a los contenidos de los espacios creados por los usuarios piloto. La pérdida se hace evidente en cuanto las aplicaciones de los usuarios actualizan sus copias en caché del contenido.

                                                                                                                                                  Crear un clúster híbrido de seguridad de datos

                                                                                                                                                  Flujo de tareas de despliegue de la seguridad de datos híbrida

                                                                                                                                                  Antes de empezar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para su uso posterior.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice HDS Setup Tool para crear un archivo de configuración ISO para los nodos de Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Instale el OVA del host HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red.


                                                                                                                                                   

                                                                                                                                                  La opción de configurar los ajustes de red durante la implantación de OVA se ha probado con ESXi 6.5. Es posible que esta opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual híbrida de seguridad de datos

                                                                                                                                                  Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento del despliegue del OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la VM desde el archivo de configuración ISO que creó con la Herramienta de Configuración HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere una configuración proxy, especifique el tipo de proxy que utilizará para el nodo y añada el certificado proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Registrar el primer nodo del clúster

                                                                                                                                                  Registre la máquina virtual en la nube Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (capítulo siguiente)

                                                                                                                                                  Hasta que no inicie una prueba, sus nodos generarán una alarma indicando que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descargará un archivo OVA en su equipo (no en los servidores que configuró como nodos de Hybrid Data Security). Este archivo se utilizará más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta Seguridad de datos híbrida y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está desactivada o no la ve, póngase en contacto con el equipo de su cuenta o con su organización asociada. Dales tu número de cuenta y pide que habiliten tu organización para Hybrid Data Security. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar la OVA en cualquier momento desde la sección Ayuda de la página Configuración . En la tarjeta Hybrid Data Security, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar el software Hybrid Data Security en la sección Ayuda .


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de Hybrid Data Security. Esto puede provocar problemas al actualizar la aplicación. Asegúrate de descargar la última versión del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su máquina.
                                                                                                                                                  4

                                                                                                                                                  Si lo desea, haga clic en Abrir guía de implantación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Hybrid Data Security crea un archivo ISO. A continuación, utilice la ISO para configurar su host híbrido de seguridad de datos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.

                                                                                                                                                    Si la herramienta HDS Setup se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de variables de entorno Docker al abrir el contenedor Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sin autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTO

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTO

                                                                                                                                                    Proxy HTTP con autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTP_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTO

                                                                                                                                                  • El archivo ISO de configuración que se genera contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesitarás la copia más reciente de este archivo cada vez que realices cambios de configuración, como éstos:

                                                                                                                                                    • Credenciales de la base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorizaciones

                                                                                                                                                  • Si tiene previsto cifrar las conexiones a bases de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos de FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  En el aviso de contraseña, introduzca este código hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la imagen estable más reciente para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos de FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:

                                                                                                                                                  • En entornos regulares sin un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos regulares con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos de FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos de FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no permite conectarse a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse a localhost.

                                                                                                                                                  Utiliza un navegador web para ir a localhost, http://127.0.0.1:8080, e introduce el nombre de usuario admin del cliente para Control Hub en el prompt.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Inicie sesión en para permitir el acceso a los servicios necesarios para Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  En la página general de la Herramienta de Configuración, haga clic en Get Started.

                                                                                                                                                  9

                                                                                                                                                  En la página ISO Import , tiene estas opciones:

                                                                                                                                                  • No-Si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • -Si ya has creado nodos HDS, entonces selecciona tu archivo ISO en el browse y súbelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumple los requisitos de X.509 Certificate Requirements.

                                                                                                                                                  • Si nunca ha cargado un certificado, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si su certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea sustituirlo, seleccione No para ¿Continuar utilizando la cadena de certificados HDS y la clave privada de ISO anterior?. Cargue un nuevo certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione su Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (Microsoft SQL Server solamente) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta local de SQL Server en el campo Username .

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Username .

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos de la forma : o :.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica, si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio completo con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el nombre de la base de datos .

                                                                                                                                                  5. Introduzca el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Preferir TLS (opción por defecto)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la base de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Exigir TLS

                                                                                                                                                  Los nodos de HDS se conectan solo si el servidor de la base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar el firmante de certificados


                                                                                                                                                   

                                                                                                                                                  Este modo no es aplicable a las bases de datos SQL Server.

                                                                                                                                                  • Los nodos de HDS se conectan solo si el servidor de la base de datos puede negociar TLS.

                                                                                                                                                  • Tras establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el certificado raíz de la base de datos . Si no coinciden, el nodo deja de conectarse.

                                                                                                                                                  Utilice el control de certificado raíz base de datos que se encuentra debajo del menú desplegable para cargar certificado raíz de esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante y el nombre de host del certificado

                                                                                                                                                  • Los nodos de HDS se conectan solo si el servidor de la base de datos puede negociar TLS.

                                                                                                                                                  • Tras establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el certificado raíz de la base de datos . Si no coinciden, el nodo deja de conectarse.

                                                                                                                                                  • Los nodos también verifican que el nombre de host en el certificado del servidor coincide con el nombre de host en el campo de host y puerto de la base de datos . Los nombres deben coincidir exactamente, o el nodo abandona la conexión.

                                                                                                                                                  Utilice el control de certificado raíz base de datos que se encuentra debajo del menú desplegable para cargar certificado raíz de esta opción.

                                                                                                                                                  Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, HDS Setup Tool probará la conexión TLS con el servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS aunque la máquina HDS Setup Tool no pueda probarla con éxito).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no puede resolverse mediante DNS desde los nodos de su clúster HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro en el host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para que utilice el cifrado TLS, compruebe ¿Su servidor syslog está configurado para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla, asegúrese de introducir una URL TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En el menú desplegable Elija la terminación del registro syslog , elija la configuración adecuada para su archivo ISO: Elegir o Nueva línea se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Newline -- \n-Seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado de algunos parámetros de conexión a la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede interesarle modificar:

                                                                                                                                                  app_datasource_connection_pool_maxTamaño: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio .

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarda el archivo en un lugar fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantén segura la copia de seguridad. Este archivo contiene una clave de encriptación maestra para el contenido de la base de datos. Restrinja el acceso sólo a los administradores de Hybrid Data Security que deban realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la Herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. La necesita para crear más nodos de recuperación o para realizar cambios de configuración. Si pierdes todas las copias del archivo ISO, también habrás perdido la clave maestra. No es posible recuperar las claves de su base de datos PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta clave y no podemos ayudarte si la pierdes.

                                                                                                                                                  Instale el OVA del host HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente VMware vSphere de su ordenador para iniciar sesión en el host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En la página Seleccione un nombre y una carpeta , introduzca un Nombre de máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En la página Seleccionar un recurso informático , elija el recurso informático de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Cuando termine, aparecerán los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Verifique los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le pide que elija la configuración de recursos en la página Configuración , haga clic en 4 CPU y, a continuación, en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco y la política de almacenamiento VM predeterminados.

                                                                                                                                                  9

                                                                                                                                                  En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla , configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host- Introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario que configure el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar un registro correcto en la nube, utilice sólo caracteres en minúsculas en el FQDN o nombre de host que establezca para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP- Introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP interna y un nombre DNS. No se admite DHCP.

                                                                                                                                                  • Máscara-Introduzca la dirección de la máscara de subred en notación decimal con puntos. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Puerta de enlace-Introduzca la dirección IP de la puerta de enlace. Una pasarela es un nodo de red que sirve de punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS-Introduzca una lista separada por comas de servidores DNS, que se encargan de traducir los nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas DNS).
                                                                                                                                                  • Servidores NTP-Introduzca el servidor NTP de su organización u otro servidor NTP externo que pueda utilizarse en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Despliegue todos los nodos en la misma subred o VLAN, de modo que todos los nodos de un clúster sean accesibles desde los clientes de su red a efectos administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de los ajustes de red y seguir los pasos indicados en Set up the Hybrid Data Security VM para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción de configurar los ajustes de red durante la implantación de OVA se ha probado con ESXi 6.5. Es posible que esta opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en el nodo VM y, a continuación, seleccione Power > Power On.

                                                                                                                                                  El software Hybrid Data Security se instala como invitado en el VM Host. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual híbrida de seguridad de datos

                                                                                                                                                  Siga este procedimiento para iniciar sesión en la consola VM del nodo de seguridad de datos híbridos por primera vez y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento del despliegue del OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente VMware vSphere, seleccione su VM del nodo Hybrid Data Security y seleccione la pestaña Console .

                                                                                                                                                  La máquina virtual arranca y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que es la primera vez que inicia sesión en su máquina virtual, deberá cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya ha configurado los ajustes de red en Install the HDS Host OVA, omita el resto de este procedimiento. Si no, en el menú principal, seleccione la opción Editar configuración .

                                                                                                                                                  4

                                                                                                                                                  Establezca una configuración estática con dirección IP, máscara, puerta de enlace e información DNS. Su nodo debe tener una dirección IP interna y un nombre DNS. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, dominio o servidor(es) NTP, si es necesario para que coincida con su política de red.

                                                                                                                                                  No es necesario que configure el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con HDS Setup Tool.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  Dado que el archivo ISO contiene la clave maestra, sólo debe exponerse en caso de "necesidad de conocer", para el acceso de las máquinas virtuales híbridas de seguridad de datos y cualquier administrador que pueda necesitar realizar cambios. Asegúrese de que sólo esos administradores pueden acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su ordenador:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la pestaña Configuración, haga clic en Storage.

                                                                                                                                                  3. En la lista Datastores, haga clic con el botón derecho del ratón en el datastore de sus máquinas virtuales y haga clic en Browse Datastore.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Vaya a la ubicación donde descargó el archivo ISO en su ordenador y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar el aviso de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en OK para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en Unidad de CD/DVD 1, seleccione la opción de montar desde un archivo ISO de datastore y vaya a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Comprobar Conectado y Conectar al encender.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar opcionalmente el archivo ISO después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Unmount ISO After HDS Configuration para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  1

                                                                                                                                                  Ingrese la URL de configuración del nodo de HDS https://[HDS node IP o FQDN]/Setup en un explorador Web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Trust Store & proxyy, a continuación, elija una opción:

                                                                                                                                                  • No Proxy-La opción por defecto antes de integrar un proxy. No es necesaria la actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección- Los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deberían necesitar ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente-Los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos de HDS necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito-Con el proxy explícito, se indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. Proxy IP/FQDN-Dirección que puede utilizarse para acceder a la máquina proxy.

                                                                                                                                                    2. Puerto proxy-Número de puerto que el proxy utiliza para escuchar el tráfico proxy.

                                                                                                                                                    3. Protocolo Proxy-Elija http (ve y controla todas las peticiones que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción según el soporte de su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación-Elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno- No se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Basic-Se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si selecciona esta opción, también debe ingresar la nombre de usuario y la contraseña.

                                                                                                                                                      • Digest-Se utiliza para confirmar la cuenta antes de enviar información sensible. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si selecciona esta opción, también debe ingresar la nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy.

                                                                                                                                                  El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde.

                                                                                                                                                  La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy.

                                                                                                                                                  Registrar el primer nodo del clúster

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Set up the Hybrid Data Security VM, registra el nodo en la nube Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un clúster contiene uno o más nodos desplegados para proporcionar redundancia.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrate de que los bloqueadores de ventanas emergentes de tu navegador están desactivados o de que permites una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbrida y haga clic en Configurar.

                                                                                                                                                  Aparecerá la página Registrar nodo híbrido de seguridad de datos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y que está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el clúster al que desea asignar su nodo híbrido de seguridad de datos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco", "Nueva York" o "Dallas".

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completo (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Set up the Hybrid Data Security VM.

                                                                                                                                                  Aparecerá un mensaje indicándole que puede registrar su nodo en el Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Tras unos instantes, se le redirigirá a las pruebas de conectividad del nodo para los servicios Webex. Si todas las pruebas se realizan correctamente, aparecerá la página Permitir acceso al nodo híbrido de seguridad de datos. Allí, confirmas que quieres dar permisos a tu organización Webex para acceder a tu nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo híbrido de seguridad de datos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta se valida y el mensaje "Registro completado" indica que su nodo ya está registrado en la nube Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la pestaña para volver a la página Seguridad de datos híbridos del concentrador de control.

                                                                                                                                                  En la página Hybrid Data Security , se muestra el nuevo clúster que contiene el nodo que ha registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para añadir nodos adicionales a su clúster, basta con crear máquinas virtuales adicionales y montar el mismo archivo ISO de configuración; a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Complete the Prerequisites for Hybrid Data Security son hosts en espera que sólo se utilizan en caso de recuperación ante desastres; no se registran en el sistema hasta entonces. Para obtener más información, consulte Disaster Recovery using Standby Data Center.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrate de que los bloqueadores de ventanas emergentes de tu navegador están desactivados o de que permites una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual a partir del OVA, repitiendo los pasos de Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Establezca la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos en Configure the HDS Node for Proxy Integration según sea necesario para el nuevo nodo.

                                                                                                                                                  5

                                                                                                                                                  Registra el nodo.

                                                                                                                                                  1. En https://admin.webex.com, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta Seguridad de datos híbrida y haga clic en Recursos.

                                                                                                                                                    Aparecerá la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Añadir recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su clúster existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completo (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje indicando que puedes registrar tu nodo en la nube Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Tras unos instantes, se le redirigirá a las pruebas de conectividad del nodo para los servicios Webex. Si todas las pruebas se realizan correctamente, aparecerá la página Permitir acceso al nodo híbrido de seguridad de datos. Allí, confirma que desea dar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo híbrido de seguridad de datos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta se valida y el mensaje "Registro completado" indica que su nodo ya está registrado en la nube Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la pestaña para volver a la página Seguridad de datos híbridos del concentrador de control.

                                                                                                                                                  Tu nodo está registrado. Tenga en cuenta que hasta que no inicie una prueba, sus nodos generarán una alarma indicando que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (capítulo siguiente)
                                                                                                                                                  Realice una prueba y pase a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un clúster de seguridad de datos híbrido, puede iniciar un piloto, añadirle usuarios y empezar a utilizarlo para probar y verificar la implantación como preparación para el paso a producción.

                                                                                                                                                  1

                                                                                                                                                  Si procede, sincronice el objeto de grupo HdsTrialGroup.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar el objeto de grupo HdsTrialGroup para la sincronización con la nube antes de poder iniciar una prueba. Para obtener instrucciones, consulte la Guía de implantación de Cisco Directory Connector en .

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie un juicio. Hasta que no realice esta tarea, sus nodos generarán una alarma indicando que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su despliegue híbrido de seguridad de datos

                                                                                                                                                  Compruebe que las solicitudes de claves pasan a su implementación de Hybrid Data Security.

                                                                                                                                                  4

                                                                                                                                                  Supervisar el estado de la seguridad de los datos híbridos

                                                                                                                                                  Comprueba el estado y configura notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Añadir o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completa la fase de prueba con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de empezar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar el objeto de grupo HdsTrialGroup para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implantación de Cisco Directory Connector en .

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Hybrid Data Security, haga clic en Settings.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia a modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users e introduzca la dirección de correo electrónico de uno o varios usuarios para pilotar el uso de sus nodos Hybrid Data Security para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para gestionar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su despliegue híbrido de seguridad de datos

                                                                                                                                                  Utilice este procedimiento para probar los escenarios de cifrado de Hybrid Data Security.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  • Configure su despliegue de Seguridad de Datos Híbrida.

                                                                                                                                                  • Active la versión de prueba y añada varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de que tiene acceso al syslog para verificar que las solicitudes de claves pasan a su implementación de Hybrid Data Security.

                                                                                                                                                  1

                                                                                                                                                  Las claves de un espacio determinado las establece el creador del mismo. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario no piloto.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implantación de la seguridad de datos híbrida, el contenido de los espacios creados por los usuarios piloto dejará de ser accesible una vez que se sustituyan las copias de las claves de cifrado almacenadas en la memoria caché del cliente.

                                                                                                                                                  2

                                                                                                                                                  Enviar mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe la salida de syslog para verificar que las solicitudes de claves pasan a su implementación de Hybrid Data Security.

                                                                                                                                                  1. Para comprobar si un usuario ha establecido primero un canal seguro con el KMS, filtre en kms.data.method=create y kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debería encontrar una entrada como la siguiente (identificadores acortados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] recibido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente al KMS, filtre en kms.data.method=retrieve y kms.data.type=KEY:

                                                                                                                                                    Encontrará una entrada como la siguiente:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] recibido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave KMS, filtre en kms.data.method=create y kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Encontrará una entrada como la siguiente:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] recibido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Encontrará una entrada como la siguiente:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] recibido, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisar el estado de la seguridad de los datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con el despliegue de Hybrid Data Security. Para recibir alertas más proactivas, suscríbase a las notificaciones por correo electrónico. Se le notificará cuando haya alarmas o actualizaciones de software que afecten al servicio.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la parte izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbrida y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y pulse Entrar.

                                                                                                                                                  Añadir o eliminar usuarios de su prueba

                                                                                                                                                  Una vez activada la versión de prueba y añadido el grupo inicial de usuarios de prueba, puede añadir o eliminar miembros de la versión de prueba en cualquier momento mientras la versión de prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y creación de claves al KMS de la nube en lugar de a su KMS. Si el cliente necesita una clave que está almacenada en su KMS, el KMS en la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para gestionar el grupo de prueba, HdsTrialGroup; puede ver los miembros del grupo en Control Hub pero no puede añadirlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Hybrid Data Security, haga clic en Settings.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Añadir usuarios, o haga clic en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o varios usuarios para añadirlos, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar.

                                                                                                                                                  Pasar de la fase de prueba a la de producción

                                                                                                                                                  Cuando esté satisfecho de que su implantación funciona bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio local de Hybrid Data Security para las claves de cifrado y otros servicios del ámbito de la seguridad. No puede volver al modo de prueba desde producción a menos que desactive el servicio como parte de la recuperación de desastres. Para volver a activar el servicio, debe configurar una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Hybrid Data Security, haga clic en Settings.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Pasar a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover todos sus usuarios a producción.

                                                                                                                                                  Finalice su prueba sin pasar a producción

                                                                                                                                                  Si, durante la prueba, decide no seguir adelante con la implantación de Hybrid Data Security, puede desactivar Hybrid Data Security, lo que pone fin a la prueba y devuelve a los usuarios de prueba a los servicios de seguridad de datos en la nube. Los usuarios de la versión de prueba perderán el acceso a los datos cifrados durante la misma.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Hybrid Data Security, haga clic en Settings.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalizar la prueba.

                                                                                                                                                  Gestione su implantación de HDS

                                                                                                                                                  Gestionar la implantación de HDS

                                                                                                                                                  Utilice las tareas que se describen a continuación para gestionar la implantación de Hybrid Data Security.

                                                                                                                                                  Establecer el calendario de actualización del clúster

                                                                                                                                                  Las actualizaciones de software de Hybrid Data Security se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de actualización específica o emplear la predeterminada: 3:00 AM todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima actualización, si es necesario.

                                                                                                                                                  Para establecer el programa de actualización:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el clúster.

                                                                                                                                                  4

                                                                                                                                                  En el panel Visión general de la derecha, en Configuración del clúster, seleccione el nombre del clúster.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la actualización al día siguiente, si es necesario, haciendo clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que tenga que cambiar la configuración de su nodo de Seguridad de datos híbridos por un motivo como:
                                                                                                                                                  • Cambiar certificados x.509 debido a su caducidad u otros motivos.


                                                                                                                                                     

                                                                                                                                                    No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.

                                                                                                                                                  • Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.

                                                                                                                                                  • Crear una configuración nueva para preparar un nuevo centro de datos.

                                                                                                                                                  Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Restablecimiento suave-La contraseña antigua y la nueva funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.

                                                                                                                                                  • Hard reset-Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.

                                                                                                                                                    Si la herramienta HDS Setup se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de variables de entorno Docker al abrir el contenedor Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sin autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTO

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTO

                                                                                                                                                    Proxy HTTP con autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTP_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENTE_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTO

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos de FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. En el aviso de contraseña, introduzca este código hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la imagen estable más reciente para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos de FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen las pantallas para restablecer contraseñas.

                                                                                                                                                  5. Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:

                                                                                                                                                    • En entornos regulares sin un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos regulares con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos regulares con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos de FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos de FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTO ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un explorador para conectarse al host local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no permite conectarse a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse a localhost.

                                                                                                                                                  7. Cuando se le solicite, introduzca sus credenciales de inicio de sesión de cliente de Control Hub y, a continuación, haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las indicaciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la Herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si sólo dispone de un nodo HDS que ejecute, cree una nueva VM de nodo Hybrid Data Security y regístrela utilizando el nuevo archivo ISO de configuración. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Inscriba el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  Asegúrese de que sus servidores DNS internos puedan resolver nombres DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo Hybrid Data Security (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Conéctese a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitada, la resolución de DNS externo bloqueada se establece en .

                                                                                                                                                  3

                                                                                                                                                  Acceda a la Página de proxy de almacén de confianza & .

                                                                                                                                                  4

                                                                                                                                                  Haga clic en verificar conexión de proxy.

                                                                                                                                                  Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo del grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar que se vuelva a acceder a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente VMware vSphere de su ordenador para iniciar sesión en el host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Elimina el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta Seguridad de datos híbridos, haga clic en Ver todo para mostrar la página Recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su cluster para mostrar su panel de Visión General.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la pestaña Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Dar de baja el nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la VM y haga clic en Eliminar.)

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no podrás utilizar la máquina virtual para acceder a tus datos de seguridad.

                                                                                                                                                  Recuperación en caso de catástrofe mediante un centro de datos de reserva

                                                                                                                                                  El servicio más crítico que proporciona su clúster de seguridad de datos híbrida es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otros contenidos almacenados en la nube Webex. Para cada usuario de la organización asignado a Hybrid Data Security, las nuevas solicitudes de creación de claves se dirigen al clúster. El clúster también es responsable de devolver las claves que ha creado a los usuarios autorizados a recuperarlas, por ejemplo, los miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos Hybrid Data Security o de la ISO de configuración utilizada para el esquema provocará una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar este tipo de pérdidas:

                                                                                                                                                  Si un desastre provoca que la implementación de HDS en el centro de datos primario deje de estar disponible, siga este procedimiento para conmutar por error manualmente al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta HDS Setup y siga los pasos mencionados en Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Advanced Settings

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada , añada la configuración que se indica a continuación o elimine la configuración passiveMode para activar el nodo. Una vez configurado, el nodo puede gestionar el tráfico.

                                                                                                                                                   passiveMode: falso 

                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantén segura la copia de seguridad. Este archivo contiene una clave de encriptación maestra para el contenido de la base de datos. Restrinja el acceso sólo a los administradores de Hybrid Data Security que deban realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente VMware vSphere, haga clic con el botón derecho en la VM y haga clic en Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Edit Settings >CD/DVD Drive 1 y seleccione Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que Conectado y Conectar al encender están marcadas para que los cambios de configuración actualizados puedan tener efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no hay alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida syslog para verificar que los nodos del centro de datos en espera no están en modo pasivo. "KMS configurado en modo pasivo" no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación por error, si el centro de datos primario vuelve a estar activo, coloque de nuevo el centro de datos en espera en modo pasivo siguiendo los pasos descritos en Configuración del centro de datos en espera para la recuperación de desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración HDS estándar funciona con la ISO montada. Pero, algunos clientes prefieren no dejar los archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos HDS recojan la nueva configuración.

                                                                                                                                                  Sigue utilizando los archivos ISO para realizar cambios en la configuración. Cuando cree una nueva ISO o actualice una ISO a través de la Herramienta de Configuración, debe montar la ISO actualizada en todos sus nodos HDS. Una vez que todos sus nodos hayan recogido los cambios de configuración, puede desmontar la ISO de nuevo con este procedimiento.

                                                                                                                                                  Antes de empezar

                                                                                                                                                  Actualice todos sus nodos HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos HDS.

                                                                                                                                                  2

                                                                                                                                                  En vCenter Server Appliance, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no hay alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita el procedimiento para cada nodo HDS sucesivamente.

                                                                                                                                                  Solución de problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Se considera que una implementación de seguridad de datos híbrida no está disponible si no se puede acceder a todos los nodos del clúster, o si el clúster funciona con tanta lentitud que se agotan los tiempos de espera de las solicitudes. Si los usuarios no pueden acceder a su clúster de Hybrid Data Security, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se descifran:

                                                                                                                                                    • Nuevos usuarios añadidos a un espacio (no se pueden recuperar las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un nuevo cliente (incapaces de obtener claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán funcionando correctamente mientras sus clientes dispongan de una memoria caché de las claves de cifrado.

                                                                                                                                                  Es importante que supervise adecuadamente su clúster híbrido de seguridad de datos y que aborde cualquier alerta con prontitud para evitar la interrupción del servicio.

                                                                                                                                                  publicación

                                                                                                                                                  Si hay algún problema con la configuración de Hybrid Data Security, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Compruebe si hay errores en la base de datos o problemas en la red local.

                                                                                                                                                  Fallo de conexión a la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos está disponible y que se han utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Fallo de acceso al servicio en la nube.

                                                                                                                                                  Compruebe que los nodos pueden acceder a los servidores Webex tal y como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de servicios en la nube.

                                                                                                                                                  Se ha suprimido el registro en los servicios en nube. La renovación del registro está en curso.

                                                                                                                                                  Se ha caído el registro del servicio en la nube.

                                                                                                                                                  Finalizado el registro en los servicios en la nube. El servicio está cerrado.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de pasar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincide con el dominio de activación de servicios configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado haya cambiado recientemente y ahora sea diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  Fallo al autenticarse en los servicios en la nube.

                                                                                                                                                  Compruebe la exactitud y posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se ha podido abrir el almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la exactitud de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que ha sido emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solución de problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes directrices generales para solucionar problemas con Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Revise el Centro de Control en busca de alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog en busca de actividad de la implantación de Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Póngase en contacto con Asistencia de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos para la seguridad de los datos híbridos

                                                                                                                                                  • Si apaga el clúster de Hybrid Data Security (borrándolo en Control Hub o apagando todos los nodos), pierde el archivo ISO de configuración o pierde el acceso a la base de datos de almacenes de claves, los usuarios de su aplicación Webex ya no podrán utilizar los espacios de su lista de personas creados con claves de su KMS. Esto se aplica tanto a las implantaciones de prueba como a las de producción. Actualmente no disponemos de una solución o arreglo para este problema y le instamos a que no cierre sus servicios HDS una vez que estén gestionando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un periodo de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbrida, el cliente del usuario sigue utilizando la conexión ECDH existente hasta que se agota. Como alternativa, el usuario puede cerrar la sesión y volver a entrar en la aplicación Webex para actualizar la ubicación con la que la aplicación se pone en contacto para obtener las claves de cifrado.

                                                                                                                                                    El mismo comportamiento se produce al pasar una prueba a producción para la organización. Todos los usuarios no participantes en el ensayo que dispongan de conexiones ECDH con los servicios de seguridad de datos anteriores seguirán utilizando dichos servicios hasta que se renegocie la conexión ECDH (mediante tiempo de espera o cerrando y volviendo a abrir la sesión).

                                                                                                                                                  Utilizar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de empezar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer que el archivo PKCS12 en el formato adecuado para la carga en la Herramienta de Configuración HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos una sobre otra.

                                                                                                                                                  • Si decide utilizar OpenSSL, le ofrecemos este procedimiento como guía para ayudarle a crear un archivo que cumpla los requisitos de los certificados X.509 en Requisitos de los certificados X.509. Comprenda estos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte el software y la documentación en https://www.openssl.org .

                                                                                                                                                  • Crea una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su Autoridad de Certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualice el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificados llamado hdsnode-bundle.pem. El archivo bundle debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el formato que se indica a continuación:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Certificado de servidor. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Certificado de CA intermedia. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Certificado de CA raíz. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre amigable kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el indicador para cifrar la clave privada de modo que aparezca en la salida. A continuación, compruebe que la clave privada y el primer certificado incluyen las líneas friendlyName: kms-clave-privada.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Introduzca la contraseña de importación: MAC verificado OK Atributos de la bolsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos clave:  Introduzca la frase de paso PEM: Verificar - Introduzca la frase de contraseña PEM: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Atributos de la bolsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bolsa Atributos friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Complete los requisitos previos para la seguridad de datos híbrida. Utilizará el archivo hdsnode.p12 , y la contraseña que ha establecido para él, en Crear una ISO de configuración para los hosts HDS.


                                                                                                                                                   

                                                                                                                                                  Puede reutilizar estos archivos para solicitar un nuevo certificado cuando caduque el original.

                                                                                                                                                  Tráfico entre los nodos HDS y la nube

                                                                                                                                                  Tráfico saliente de recogida de métricas

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube Webex. Entre ellas se incluyen métricas del sistema para heap max, heap usado, carga de CPU y recuento de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que implican un umbral de conexiones de cifrado, latencia o una longitud de cola de peticiones; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían material clave cifrado a través de un canal fuera de banda (independiente de la solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de Hybrid Data Security reciben los siguientes tipos de tráfico entrante desde la nube Webex:

                                                                                                                                                  • Solicitudes de cifrado de los clientes, que son enrutadas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones del software del nodo

                                                                                                                                                  Configurar proxies squid para la seguridad de datos híbridos

                                                                                                                                                  WebSocket no se puede conectar a través de proxy Squid

                                                                                                                                                  Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir en el establecimiento de las conexiones websocket (wss:) que requiere Hybrid Data Security. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Añada la directiva on_unsupported_protocol a squid.conf:

                                                                                                                                                  on_unsupported_protocol túnel todo

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Crear un clúster híbrido de seguridad de datos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a ella, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador totales para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla ofrece algunas posibles variables del entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno:

                                                                                                                                                  En entornos normales:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos de FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia imágenes anteriores de herramientas de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  En el mensaje de contraseña, introduzca este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la imagen estable más reciente para su entorno:

                                                                                                                                                  En entornos normales:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos de FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando finalice la extracción, introduzca el comando correspondiente para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos de FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos de FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se esté ejecutando, verá "Express server listening on port 8080" (Escucha del servidor expreso en el puerto 8080).

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiera TLS(opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de base de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Exigir TLS

                                                                                                                                                  Los nodos HDS solo se conectan si el servidor de base de datos puede negociar TLS.

                                                                                                                                                  Exigir TLS y verificar el firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS solo se conectan si el servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el control Certificado raíz de base de datos situado debajo del menú desplegable para cargar el certificado raíz correspondiente a esta opción.

                                                                                                                                                  Exigir TLS y verificar el nombre de host y el firmante del certificado

                                                                                                                                                  • Los nodos HDS solo se conectan si el servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el control Certificado raíz de base de datos situado debajo del menú desplegable para cargar el certificado raíz correspondiente a esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el nombre de host y el firmante del certificado, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede elegir si desea ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para apagar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Realice una prueba y pase a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego, haga clic en Guardar.

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Gestione su implantación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  En ocasiones, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbridos por motivos como:
                                                                                                                                                  • Cambio de certificados x.509 debido a la caducidad u otros motivos.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre de dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server, o lo contrario. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Seguridad de datos híbridos.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Además, por motivos de seguridad, Hybrid Data Security utiliza contraseñas de cuentas de servicio que tienen una vida útil de nueve meses. Después de que la herramienta de configuración de HDS genere estas contraseñas, se implementarán en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibirá un aviso del equipo de Webex para restablecer la contraseña de su cuenta de máquina. (El correo electrónico incluye el texto "Utilizar la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento duro: las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a ella, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador totales para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla ofrece algunas posibles variables del entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, como credenciales de base de datos, actualizaciones de certificados o cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno:

                                                                                                                                                    En entornos normales:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos de FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia imágenes anteriores de herramientas de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. En el mensaje de contraseña, introduzca este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la imagen estable más reciente para su entorno:

                                                                                                                                                    En entornos normales:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos de FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creada antes del 22 de febrero de 2018 no tienen las pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando finalice la extracción, introduzca el comando correspondiente para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos de FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos de FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se esté ejecutando, verá "Express server listening on port 8080" (Escucha del servidor expreso en el puerto 8080).

                                                                                                                                                  6. Utilice un navegador para conectarse al host regional, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, introduzca sus credenciales de inicio de sesión de cliente de Control Hub y, a continuación, haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para apagar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo HDS en ejecución, cree una nueva máquina virtual de nodo de seguridad de datos híbridos y regístrela con el nuevo archivo ISO de configuración. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Inscriba el nodo nuevo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que estén ejecutando el archivo de configuración anterior, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo por turnos, actualizando cada nodo antes de desactivar el nodo siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación en la que descargó el nuevo archivo ISO de configuración.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitada, la Resolución de DNS externa bloqueada se establece en .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solución de problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente no tenemos una solución o solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Prólogo

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  7 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  6 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop debe ejecutar un programa de configuración antes de poder instalar nodos HDS. Consulte Requisitos del escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Tenga en cuenta que puede volver a utilizar el archivo de clave privada y la CSR para solicitar otro certificado. Consulte Utilizar OpenSSL para generar un archivo PKCS12 para obtener detalles.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio local del disco duro a 30 GB. Consulte Requisitos del host virtual para obtener detalles.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una configuración ISO para los hosts de HDS para obtener más detalles.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y sus proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizaron las opciones Crear una configuración ISO para los hosts de HDS y Cambiar la configuración de los nodos con comandos para entornos de FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizaron las opciones Crear una configuración ISO para los hosts de HDS y Cambiar la configuración del nodo con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la Probar su implementación de seguridad de datos híbridos para ver si hay cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos del organizador virtual para eliminar la cantidad máxima de organizadores.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se ha actualizado la opción Eliminar un nodo para los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Actualización de la opción Crear una configuración ISO para los hosts de HDS para los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la opción Crear una configuración ISO para los hosts de HDS para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los Requisitos del host virtual para mostrar el nuevo requisito de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Se actualizaron los requisitos de conectividad externa con los nuevos hosts CI de América.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Se actualizaron los requisitos de conectividad externa con información sobre los hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Actualización de la opción Crear una ISO de configuración para los hosts de HDS con información sobre la nueva pantalla opcional Configuración avanzada en la Herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Se actualizaron los Requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se aclaró el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019.

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019.

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019.

                                                                                                                                                  Se agregó SQL Server Standard a los Requisitos del servidor de base de datos.

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies de Squid para la seguridad de datos híbridos con orientación sobre la configuración de proxies de Squid para ignorar el tráfico de websocket para un funcionamiento adecuado.
                                                                                                                                                  20 de agosto de 2019.

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex .

                                                                                                                                                  13 de junio de 2019Se actualizó el Flujo de tareas de prueba a producción con un recordatorio para sincronizar el objeto de grupo HdsTrialGroup antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio local en el disco duro por servidor que debe reservar al preparar los hosts virtuales que se convierten en los nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de seguridad de datos híbridos ahora admiten conexiones cifradas con servidores de bases de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Actualización de la opción Crear una configuración ISO para los hosts de HDS con instrucciones.

                                                                                                                                                  • Se han eliminado las URL de destino de la tabla “Requisitos de conectividad a Internet para las máquinas virtuales del nodo de seguridad de datos híbridos”. La tabla ahora se refiere a la lista que se mantiene en la tabla “Direcciones URL adicionales para los servicios híbridos de Webex Teams” de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora es compatible con Microsoft SQL Server como base de datos. SQL Server Always On (clústeres de conmutación por error Always On y grupos de disponibilidad Always On) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se ha modificado la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • La nube Cisco Collaboraton ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especificó que el certificado no puede ser un certificado comodín y que el KMS usa el dominio de nombre común, no cualquier dominio definido en los campos SAN de x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se aclaró la sincronización de directorios del HdsTrialGroup.

                                                                                                                                                  • Se corrigieron las instrucciones para cargar el archivo ISO de configuración para montarlos en los nodos de la máquina virtual.

                                                                                                                                                  18 de agosto de 2017

                                                                                                                                                  Alertas de primera

                                                                                                                                                  Comenzar con la seguridad de datos híbridos

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De forma predeterminada, todos los clientes de la Aplicación de Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.

                                                                                                                                                  Dominios de separación (sin seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.

                                                                                                                                                  4. El mensaje cifrado se almacena en el dominio de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.

                                                                                                                                                  Colaborar con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos.

                                                                                                                                                  Expectativas para la implementación de la seguridad de datos híbridos

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y la administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su implementación con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Control Hub.

                                                                                                                                                  • Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de la seguridad de datos híbridos.

                                                                                                                                                  Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de la seguridad de datos híbridos.

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.

                                                                                                                                                  Admitimos solo un grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero la prueba con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio local de seguridad de datos híbridos para claves de cifrado y otros servicios del dominio de seguridad. Sus otros usuarios siguen usando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactiva el servicio, los usuarios piloto y cualquier usuario con el que hayan interactuado al crear nuevos espacios durante el período de prueba perderán acceso a los mensajes y el contenido. Verán "Este mensaje no se puede descifrar" en la aplicación de Webex.

                                                                                                                                                  Si está satisfecho con el buen funcionamiento de su implementación para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios piloto siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede ir y venir entre el modo de producción y la prueba original. Si debe desactivar el servicio, como para realizar una recuperación de desastres, cuando lo reactiva debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la prueba nueva antes de volver al modo de producción. El hecho de que los usuarios conserven el acceso a los datos en este momento depende de si ha mantenido correctamente las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos de espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.

                                                                                                                                                  Antes de la conmutación por error, el centro de datos A tiene nodos HDS activos y la base de datos primaria PostgreSQL o Microsoft SQL Server, mientras que B tiene una copia del archivo ISO con configuraciones adicionales, máquinas virtuales que están registradas en la organización y una base de datos de espera. Después de la recuperación de fallas, el centro de datos B tiene nodos HDS activos y la base de datos primaria, mientras que A tiene máquinas virtuales no registradas y una copia del archivo ISO, y la base de datos está en modo de espera.
                                                                                                                                                  Conmutación por error manual al centro de datos de espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas. El archivo ISO del centro de datos de espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos de espera siempre permanecen actualizados con la última versión del software de HDS.

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.

                                                                                                                                                  Configurar el centro de datos de espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos de espera:

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se realizarán las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada , agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se inscribirá en la organización y se conectará a la nube, pero no manejará ningún tráfico.

                                                                                                                                                   modoPasivo: "verdadero" 

                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo en el centro de datos de espera.

                                                                                                                                                  Compruebe los syslogs para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los registros del sistema.

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin la configuración de passiveMode y guardarlo en una ubicación segura. Esta copia del archivo ISO sin passiveMode configurado puede ayudar en un proceso de conmutación por error rápido durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos de espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Compatibilidad de proxy

                                                                                                                                                  La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.

                                                                                                                                                  • Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.

                                                                                                                                                    2. Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.

                                                                                                                                                    3. Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: permite ver y controlar todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere ninguna otra autenticación.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo de proxy.

                                                                                                                                                        Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)

                                                                                                                                                  Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos del escritorio de Docker

                                                                                                                                                  Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir con los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificado X.509 para la implementación de la Seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una Autoridad de certificación (CA) de confianza

                                                                                                                                                  De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de Seguridad de datos híbridos.

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3.

                                                                                                                                                  Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. Elija un dominio que pueda aplicarse a las implementaciones de prueba y de producción.

                                                                                                                                                  • No tiene una firma de SHA1

                                                                                                                                                  El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido por una contraseña

                                                                                                                                                  • Use el nombre kms-private-key para etiquetar el certificado, la clave privada y cualquier certificado intermedio que cargue.

                                                                                                                                                  Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • 4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de bases de datos

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de bases de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Servidor de Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento)

                                                                                                                                                  Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento)

                                                                                                                                                  Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Servidor de Microsoft SQL

                                                                                                                                                  Controlador JDBC Postgres 42.2.5

                                                                                                                                                  Controlador SQL Server JDBC 4.6

                                                                                                                                                  Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Servidores HTTPS y WSS

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los organizadores de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS de salida

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los organizadores de Common Identity

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.

                                                                                                                                                  Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:

                                                                                                                                                  Región

                                                                                                                                                  URL del host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.

                                                                                                                                                    • Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.

                                                                                                                                                    • Proxy explícito: squid.

                                                                                                                                                      Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Autenticación de compendio solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.

                                                                                                                                                  • Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar) el tráfico a wbx2.com y ciscospark.com se resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar preparado para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos completos de administrador de la organización. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo, hds.empresa.com) y obtenga una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir con los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Crea una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de la base de datos:

                                                                                                                                                    • el nombre del host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos del almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.

                                                                                                                                                  Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido.

                                                                                                                                                  Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza sincronización de directorios, cree un grupo en Active Directory denominado HdsTrialGroup y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El objeto HdsTrialGroup debe estar sincronizado con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el menú Configuración > Selección de objetos del Conector de directorios. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco).

                                                                                                                                                  Las claves para un determinado espacio son configuradas por el creador del espacio. Al seleccionar usuarios piloto, tenga en cuenta que, si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios pierden acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace efectiva cuando las aplicaciones de los usuarios actualizan sus copias en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de implementación de la Seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Realizar la configuración inicial y descargar los archivos de instalación

                                                                                                                                                  Descargue el archivo OVA en su equipo local para usarlo más tarde.

                                                                                                                                                  2

                                                                                                                                                  Crear un archivo ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA del host HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red.

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de Seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar el archivo ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza.

                                                                                                                                                  7

                                                                                                                                                  Registrar el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del grupo.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (próximo capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con su organización asociada. Proporcióneles su número de cuenta y pida que habilite la seguridad de datos híbridos en su organización. Para buscar el número de la cuenta, haga clic en el engranaje que aparece en la parte superior derecha junto al nombre de su organización.

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración . En la tarjeta de Seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar el software de seguridad de datos híbridos en la sección Ayuda .

                                                                                                                                                  Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay una versión posterior de esta guía disponible.

                                                                                                                                                  Crear un archivo ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sin autenticación

                                                                                                                                                    AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTP con autenticación

                                                                                                                                                    AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:

                                                                                                                                                    • Credenciales de la base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos de FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente:

                                                                                                                                                  inicio de sesión de docker -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  En el aviso de contraseña, introduzca este código hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la imagen estable más reciente para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos de FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:

                                                                                                                                                  • En entornos regulares sin un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos regulares con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_agente_http_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_agente_https_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin un proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos de FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_agente_http_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos de FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_agente_https_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                  La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local.

                                                                                                                                                  Utilice un navegador web para dirigirse al host local, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub cuando se le solicite.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador del cliente de Control Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación de ISO , tiene estas opciones:

                                                                                                                                                  • No: si está creando su primer nodo de HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya creó nodos de HDS, seleccione su archivo ISO en el menú Examinar y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si su certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en ¿Continuar utilizando la cadena de certificados de HDS y la clave privada de la ISO anterior?. Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves:

                                                                                                                                                  1. Seleccione su Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá el campo Tipo de autenticación.

                                                                                                                                                  2. (Microsoft SQL Server únicamente) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario .

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato nombredeusuario@DOMINIO en el campo Nombre de usuario .

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos con el formato : o :.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si está utilizando la autenticación de Windows, debe introducir un nombre de dominio completamente calificado en el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de la base de datos.

                                                                                                                                                  5. Introduzca el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un Modo de conexión a la base de datos TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Preferir TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la base de datos. Si habilita TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Exigir TLS

                                                                                                                                                  Los nodos de HDS se conectan solo si el servidor de la base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar el firmante de certificados

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos de HDS se conectan solo si el servidor de la base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de emisión de certificados en el Certificado raíz de la base de datos. Si no coinciden, el nodo deja de conectarse.

                                                                                                                                                  Utilice el control de certificado raíz base de datos que se encuentra debajo del menú desplegable para cargar certificado raíz de esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante y el nombre de host del certificado

                                                                                                                                                  • Los nodos de HDS se conectan solo si el servidor de la base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de emisión de certificados en el Certificado raíz de la base de datos. Si no coinciden, el nodo deja de conectarse.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host en el campo Host y puerto de la base de datos . Los nombres deben coincidir exactamente, o el nodo abandona la conexión.

                                                                                                                                                  Utilice el control de certificado raíz base de datos que se encuentra debajo del menú desplegable para cargar certificado raíz de esta opción.

                                                                                                                                                  Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Ingrese la URL del servidor syslog.

                                                                                                                                                    Si el servidor no puede resolverse con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro en el host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si configura su servidor para que utilice el cifrado TLS, marque ¿Su servidor syslog está configurado para el cifrado SSL?

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En el menú desplegable Elegir terminación de registro de syslog , elija la configuración adecuada para su archivo ISO: Se utiliza la opción Elegir o Nueva línea para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Nueva línea -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxTamaño: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio .

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para apagar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.

                                                                                                                                                  Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.

                                                                                                                                                  Instalar el OVA del host HDS

                                                                                                                                                  Use este procedimiento para crear una máquina virtual del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Verifique los detalles de la plantilla y, luego, haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM.

                                                                                                                                                  9

                                                                                                                                                  En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla , configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.
                                                                                                                                                    • No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar un registro correcto en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que configure para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                    Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de la máscara de subred en notación decimal de puntos. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Puerta de enlace: introduzca la dirección IP de la puerta de enlace. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista separada por comas de servidores DNS, que manejan la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que pueda utilizarse en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para ingresar varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de modo que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encender.

                                                                                                                                                  El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de Seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración .

                                                                                                                                                  4

                                                                                                                                                  Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red.

                                                                                                                                                  No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor.

                                                                                                                                                  Cargar y montar el archivo ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual del archivo ISO que creó con la Herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO de su computadora.

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacenes de datos, haga clic derecho en el almacén de datos para sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, luego, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación donde descargó el archivo ISO en su computadora y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de las opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde el archivo ISO de un almacén de datos y busque la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Marque Conectado y Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Ingrese la URL de configuración del nodo de HDS https://[HDS node IP o FQDN]/Setup en un explorador Web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Trust Store & proxyy, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No es necesaria la actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos de HDS necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, le dice al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.

                                                                                                                                                    2. Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción según el soporte de su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere ninguna otra autenticación.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si selecciona esta opción, también debe ingresar la nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si selecciona esta opción, también debe ingresar la nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy.

                                                                                                                                                  El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde.

                                                                                                                                                  La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy.

                                                                                                                                                  Registrar el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la VM de seguridad de datos híbridos, inscribe el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparecerá la página para Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y que está listo para registrarlo y, luego, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, ingrese la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar.

                                                                                                                                                  Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página de Seguridad de datos híbridos, se muestra el grupo nuevo que contiene al nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente debe crear máquinas virtuales adicionales, montar el mismo archivo ISO de configuración y, luego, registrar el nodo. Le recomendamos tener al menos 3 nodos.

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no se registran en el sistema hasta entonces. Para obtener detalles, consulte Recuperación de desastres mediante el centro de datos de modo de espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Registre el nodo.

                                                                                                                                                  1. En https://admin.webex.com, seleccione Servicios del menú del lado izquierdo de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparecerá la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, ingrese la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que le indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirme que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar.

                                                                                                                                                    Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está inscripto. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (próximo capítulo)

                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregarle usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a la producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el objeto de grupo HdsTrialGroup .

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar el objeto de grupo HdsTrialGroup para la sincronización con la nube antes de poder iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación para el Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se pasen a su implementación de Seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Monitorear el estado de seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure notificaciones por correo electrónico para alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Complete la fase de prueba con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar el objeto de grupo HdsTrialGroup para la sincronización con la nube antes de comenzar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación para el Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado de servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado de servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Agregar usuarios e introduzca la dirección de correo electrónico de uno o más usuarios para utilizar sus nodos de seguridad de datos híbridos para servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza sincronización de directorios, use Active Directory para administrar el grupo de prueba, HdsTrialGroup).

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar situaciones de cifrado de la seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de Seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario no piloto.

                                                                                                                                                  Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al espacio nuevo.

                                                                                                                                                  3

                                                                                                                                                  Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario primero establece un canal seguro para el KMS, filtre kms.data.method=create y kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Encontrará una entrada como la siguiente (los identificadores se acortaron por razones de legibilidad):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] recibida, ID de dispositivo: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=COLECCIÓN EFÍMERA_CLAVE_COLECCIÓN, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente del KMS, filtre kms.data.method=retrieve y kms.data.type=KEY:

                                                                                                                                                    Encontrará una entrada como la siguiente:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] recibido, ID de dispositivo: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=CLAVE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre kms.data.method=create y kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Encontrará una entrada como la siguiente:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] recibido, ID de dispositivo: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=COLLECTION_KEY, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre kms.data.method=create y kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Encontrará una entrada como la siguiente:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] recibido, ID de dispositivo: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorear el estado de seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo está bien con la implementación de la Seguridad de datos híbridos. Para una generación de alertas más proactiva, inscríbase a las notificaciones por correo electrónico. Recibirá notificaciones cuando haya alarmas que impacten el servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección de Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página de configuración para la seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar los miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave que está almacenada en su KMS, el KMS en la nube la buscará en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba, HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, luego, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado de servicio, haga clic en Agregar usuarios o haga clic en ver y editar para eliminar a los usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Ingrese la dirección de correo electrónico de uno o más usuarios para agregarlos o haga clic en la X al lado del ID de usuario para eliminar al usuario de la prueba. Luego haga clic en Guardar.

                                                                                                                                                  Pasar de prueba a producción

                                                                                                                                                  Si está satisfecho con el funcionamiento de la implementación para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio local de seguridad de datos híbridos para claves de cifrado y otros servicios del dominio de seguridad. Cuando pasa a producción, no puede volver al modo de prueba a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, luego, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado de servicio, haga clic en Pasar a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea pasar todos sus usuarios a producción.

                                                                                                                                                  Finalizar la prueba sin pasar a producción

                                                                                                                                                  Si durante la prueba decide no seguir adelante con su implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, luego, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar implementaciones de HDS

                                                                                                                                                  Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.

                                                                                                                                                  Definir planificación para mejorar grupos

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de grupos, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para definir la planificación para mejorar grupos:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En el área de Servicios híbridos de la página de Descripción general, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el área de Configuración del grupo del panel de Descripción general de la derecha, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que tenga que cambiar la configuración de su nodo de Seguridad de datos híbridos por un motivo como:
                                                                                                                                                  • Cambiar certificados x.509 debido a su caducidad u otros motivos.

                                                                                                                                                    No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.

                                                                                                                                                  • Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.

                                                                                                                                                    No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.

                                                                                                                                                  • Crear una configuración nueva para preparar un nuevo centro de datos.

                                                                                                                                                  Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.

                                                                                                                                                  • Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sin autenticación

                                                                                                                                                    AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTP con autenticación

                                                                                                                                                    AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTO

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos de FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente:

                                                                                                                                                    inicio de sesión de docker -u hdscustomersro
                                                                                                                                                  3. En el aviso de contraseña, introduzca este código hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la imagen estable más reciente para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos de FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen las pantallas para restablecer contraseñas.

                                                                                                                                                  5. Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:

                                                                                                                                                    • En entornos regulares sin un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos regulares con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_agente_http_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos regulares con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_agente_https_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin un proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos de FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_agente_http_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos de FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_agente_https_Proxy=http://SERVIDOR_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un explorador para conectarse al host local, http://127.0.0.1:8080.

                                                                                                                                                    La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local.

                                                                                                                                                  7. Cuando se le solicite, introduzca sus credenciales de inicio de sesión del cliente de Control Hub y, a continuación, haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga los mensajes para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para apagar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una nueva máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Inscriba el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores DNS internos puedan resolver nombres DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Conéctese a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitada, la resolución de DNS externo bloqueada se establece en .

                                                                                                                                                  3

                                                                                                                                                  Acceda a la Página de proxy de almacén de confianza & .

                                                                                                                                                  4

                                                                                                                                                  Haga clic en verificar conexión de proxy.

                                                                                                                                                  Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo del grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del grupo, elimine la máquina virtual para evitar más accesos a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Elimine el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, luego, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de Seguridad de datos híbridos, haga clic en Ver todos para mostrar la página de Recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su clúster para mostrar el panel de Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Desinscribir nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos de modo de espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada , agregue la configuración a continuación o elimine la configuración passiveMode para activar el nodo. Una vez configurado, el nodo puede gestionar el tráfico.

                                                                                                                                                   modoPasivo: «falso» 

                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo en el centro de datos de espera.

                                                                                                                                                  Compruebe la salida de syslog para verificar que los nodos del centro de datos de espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la recuperación de fallas, si el centro de datos primario vuelve a estar activo, vuelva a colocar el centro de datos de espera en modo pasivo siguiendo los pasos que se describen en Configurar el centro de datos de espera para la recuperación de desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.

                                                                                                                                                  Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor de vCenter, seleccione el nodo de HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque la opción Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS por turno.

                                                                                                                                                  Resolución de problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y resolver problemas

                                                                                                                                                  Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:

                                                                                                                                                  • No podrán crear espacios nuevos (no podrán crear claves nuevas)

                                                                                                                                                  • Los mensajes y títulos de espacios no podrán descifrarse para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)

                                                                                                                                                  • Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.

                                                                                                                                                  Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.

                                                                                                                                                  publicación

                                                                                                                                                  Si hay un problema con la configuración de seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y los pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas de la red local.

                                                                                                                                                  Error de conexión a la base de datos local.

                                                                                                                                                  Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso al servicio en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro al servicio en la nube.

                                                                                                                                                  Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro al servicio en la nube.

                                                                                                                                                  Se canceló el registro a los servicios en la nube. El servicio se está apagando.

                                                                                                                                                  El servicio aún no está activado.

                                                                                                                                                  Active una prueba o complete el traspaso de prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial.

                                                                                                                                                  Error al autenticar los servicios en la nube.

                                                                                                                                                  Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado.

                                                                                                                                                  Error al abrir el archivo del almacén de claves local.

                                                                                                                                                  Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza.

                                                                                                                                                  No se pudieron publicar las métricas.

                                                                                                                                                  Verifique el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta.

                                                                                                                                                  Resolución de problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver si hay alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el servicio de soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos con la seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en Control Hub o al cerrar todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación de Webex ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica a las implementaciones de prueba y producción. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario sigue utilizando la conexión ECDH existente hasta que se agota el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a iniciarla en la aplicación de Webex para actualizar la ubicación en la que la aplicación contacta para obtener las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando pasa de una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones de ECDH existentes a los servicios de seguridad de datos anteriores seguirán usando estos servicios hasta que la conexión de ECDH se vuelva a negociar (a través de tiempo de espera o al cerrar sesión y volver a iniciarla).

                                                                                                                                                  Use OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.

                                                                                                                                                  • Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado de servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Visualice el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Use el editor de texto para crear un archivo de paquete de certificados denominado hdsnode-bundle.pem. El archivo de paquete incluye el certificado de servidor, cualquier certificado de CA intermedio y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----COMENZAR CERTIFICADO----- ### Certificado del servidor. ### -----FINALIZAR CERTIFICADO---------COMENZAR CERTIFICADO----- ### Certificado de CA intermedia. ### -----FINALIZAR CERTIFICADO---------COMENZAR CERTIFICADO----- ### Certificado de CA raíz. ### -----FINALIZAR CERTIFICADO-----

                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Verifique los detalles del certificado de servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Ingrese una contraseña en el mensaje para cifrar la clave privada para que aparezca en el resultado. Luego, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atributos clave:  Introduzca la frase de aprobación de PEM: Verifying - Enter PEM pass phrase: -----COMENZAR CLAVE PRIVADA CIFRADA-----  -----FINALIZAR CLAVE PRIVADA CIFRADA----- Atributos de bolsa friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST, CA raíz X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de colección de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies squid para la seguridad de datos híbridos

                                                                                                                                                  WebSocket no se puede conectar a través de proxy Squid

                                                                                                                                                  Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregar la on_unsupported_protocol directiva a squid.conf:

                                                                                                                                                  on_unsupported_protocol todos los túneles

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  ¿Ha encontrado este artículo útil?
                                                                                                                                                  ¿Ha encontrado este artículo útil?