Es posible que algunos artículos muestren el contenido de forma incoherente. Le pedimos disculpas mientras actualizamos nuestro sitio.
cross icon
En este artículo
dropdown icon
Prefacio
    Información nueva y modificada
    dropdown icon
    Empiece con la seguridad híbrida de datos
      Visión general de la seguridad de los datos híbridos
        dropdown icon
        Arquitectura del ámbito de seguridad
          Ámbitos de separación (sin seguridad híbrida de datos)
        Colaboración con otras organizaciones
          Expectativas de implantación de la seguridad híbrida de los datos
            Proceso de configuración de alto nivel
              dropdown icon
              Modelo híbrido de implantación de la seguridad de los datos
                Modelo híbrido de implantación de la seguridad de los datos
              Modo de prueba de la seguridad de datos híbrida
                dropdown icon
                Centro de datos de reserva para recuperación en caso de catástrofe
                  Configurar un centro de datos de reserva para la recuperación en caso de catástrofe
                Compatibilidad de proxy
                dropdown icon
                Preparar su entorno
                  dropdown icon
                  Requisitos para la seguridad de los datos híbridos
                    Requisitos de licencia de Cisco Webex
                    Requisitos de Docker Desktop
                    Requisitos de los certificados X.509
                    Requisitos del host virtual
                    Requisitos del servidor de base de datos
                    Requisitos de conectividad externa
                    Requisitos del servidor proxy
                  Cumplir los requisitos previos para la seguridad híbrida de datos
                  dropdown icon
                  Crear un clúster híbrido de seguridad de datos
                    Flujo de tareas de despliegue de la seguridad de datos híbrida
                      Descargar archivos de instalación
                        Crear una ISO de configuración para los hosts HDS
                          Instale el OVA del host HDS
                            Configurar la máquina virtual híbrida de seguridad de datos
                              Cargar y montar la ISO de configuración de HDS
                                Configurar el nodo de HDS para la integración de proxy
                                  Registrar el primer nodo del clúster
                                    Crear y registrar más nodos
                                    dropdown icon
                                    Realice una prueba y pase a producción
                                      Flujo de tareas de prueba a producción
                                        Activar prueba
                                          Pruebe su despliegue híbrido de seguridad de datos
                                            Supervisar el estado de la seguridad de los datos híbridos
                                              Añadir o eliminar usuarios de su prueba
                                                Pasar de la fase de prueba a la de producción
                                                  Finalice su prueba sin pasar a producción
                                                  dropdown icon
                                                  Gestione su implantación de HDS
                                                    Gestionar la implantación de HDS
                                                      Establecer el calendario de actualización del clúster
                                                        Cambiar la configuración del nodo
                                                          Desactivar el modo de resolución de DNS externo bloqueado
                                                            Eliminar un nodo
                                                              Recuperación en caso de catástrofe mediante un centro de datos de reserva
                                                                (Opcional) Desmontar ISO después de la configuración de HDS
                                                                dropdown icon
                                                                Solución de problemas de seguridad de datos híbridos
                                                                  Ver alertas y solucionar problemas
                                                                    dropdown icon
                                                                    publicación
                                                                      Problemas comunes y pasos para resolverlos
                                                                    Solución de problemas de seguridad de datos híbridos
                                                                    dropdown icon
                                                                    Otras notas
                                                                      Problemas conocidos para la seguridad de los datos híbridos
                                                                        Utilizar OpenSSL para generar un archivo PKCS12
                                                                          Tráfico entre los nodos HDS y la nube
                                                                            dropdown icon
                                                                            Configurar proxies squid para la seguridad de datos híbridos
                                                                              WebSocket no se puede conectar a través de proxy Squid
                                                                          En este artículo
                                                                          cross icon
                                                                          dropdown icon
                                                                          Prefacio
                                                                            Información nueva y modificada
                                                                            dropdown icon
                                                                            Empiece con la seguridad híbrida de datos
                                                                              Visión general de la seguridad de los datos híbridos
                                                                                dropdown icon
                                                                                Arquitectura del ámbito de seguridad
                                                                                  Ámbitos de separación (sin seguridad híbrida de datos)
                                                                                Colaboración con otras organizaciones
                                                                                  Expectativas de implantación de la seguridad híbrida de los datos
                                                                                    Proceso de configuración de alto nivel
                                                                                      dropdown icon
                                                                                      Modelo híbrido de implantación de la seguridad de los datos
                                                                                        Modelo híbrido de implantación de la seguridad de los datos
                                                                                      Modo de prueba de la seguridad de datos híbrida
                                                                                        dropdown icon
                                                                                        Centro de datos de reserva para recuperación en caso de catástrofe
                                                                                          Configurar un centro de datos de reserva para la recuperación en caso de catástrofe
                                                                                        Compatibilidad de proxy
                                                                                        dropdown icon
                                                                                        Preparar su entorno
                                                                                          dropdown icon
                                                                                          Requisitos para la seguridad de los datos híbridos
                                                                                            Requisitos de licencia de Cisco Webex
                                                                                            Requisitos de Docker Desktop
                                                                                            Requisitos de los certificados X.509
                                                                                            Requisitos del host virtual
                                                                                            Requisitos del servidor de base de datos
                                                                                            Requisitos de conectividad externa
                                                                                            Requisitos del servidor proxy
                                                                                          Cumplir los requisitos previos para la seguridad híbrida de datos
                                                                                          dropdown icon
                                                                                          Crear un clúster híbrido de seguridad de datos
                                                                                            Flujo de tareas de despliegue de la seguridad de datos híbrida
                                                                                              Descargar archivos de instalación
                                                                                                Crear una ISO de configuración para los hosts HDS
                                                                                                  Instale el OVA del host HDS
                                                                                                    Configurar la máquina virtual híbrida de seguridad de datos
                                                                                                      Cargar y montar la ISO de configuración de HDS
                                                                                                        Configurar el nodo de HDS para la integración de proxy
                                                                                                          Registrar el primer nodo del clúster
                                                                                                            Crear y registrar más nodos
                                                                                                            dropdown icon
                                                                                                            Realice una prueba y pase a producción
                                                                                                              Flujo de tareas de prueba a producción
                                                                                                                Activar prueba
                                                                                                                  Pruebe su despliegue híbrido de seguridad de datos
                                                                                                                    Supervisar el estado de la seguridad de los datos híbridos
                                                                                                                      Añadir o eliminar usuarios de su prueba
                                                                                                                        Pasar de la fase de prueba a la de producción
                                                                                                                          Finalice su prueba sin pasar a producción
                                                                                                                          dropdown icon
                                                                                                                          Gestione su implantación de HDS
                                                                                                                            Gestionar la implantación de HDS
                                                                                                                              Establecer el calendario de actualización del clúster
                                                                                                                                Cambiar la configuración del nodo
                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado
                                                                                                                                    Eliminar un nodo
                                                                                                                                      Recuperación en caso de catástrofe mediante un centro de datos de reserva
                                                                                                                                        (Opcional) Desmontar ISO después de la configuración de HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Solución de problemas de seguridad de datos híbridos
                                                                                                                                          Ver alertas y solucionar problemas
                                                                                                                                            dropdown icon
                                                                                                                                            publicación
                                                                                                                                              Problemas comunes y pasos para resolverlos
                                                                                                                                            Solución de problemas de seguridad de datos híbridos
                                                                                                                                            dropdown icon
                                                                                                                                            Otras notas
                                                                                                                                              Problemas conocidos para la seguridad de los datos híbridos
                                                                                                                                                Utilizar OpenSSL para generar un archivo PKCS12
                                                                                                                                                  Tráfico entre los nodos HDS y la nube
                                                                                                                                                    dropdown icon
                                                                                                                                                    Configurar proxies squid para la seguridad de datos híbridos
                                                                                                                                                      WebSocket no se puede conectar a través de proxy Squid
                                                                                                                                                  Guía de implantación de Webex Hybrid Data Security
                                                                                                                                                  list-menuEn este artículo
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS.

                                                                                                                                                  2

                                                                                                                                                  Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS.

                                                                                                                                                  4

                                                                                                                                                  Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo.

                                                                                                                                                  5

                                                                                                                                                  Inscriba el nodo.

                                                                                                                                                  1. En https://admin.webex.com, selecciona Services (Servicios) en el menú de la izquierda de la pantalla.

                                                                                                                                                  2. En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y haga clic en Recursos.

                                                                                                                                                    Aparece la página Recursos de seguridad de datos híbridos.
                                                                                                                                                  3. Haga clic en Agregar recurso.

                                                                                                                                                  4. En el primer campo, seleccione el nombre de su grupo existente.

                                                                                                                                                  5. En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                    Aparecerá un mensaje que indica que puede inscribir su nodo en la nube de Webex.
                                                                                                                                                  6. Haga clic en Ir al nodo.

                                                                                                                                                    Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización para acceder a su nodo.
                                                                                                                                                  7. Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                    Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  8. Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)
                                                                                                                                                  Ejecutar una prueba y pasar a producción

                                                                                                                                                  Flujo de tareas de prueba a producción

                                                                                                                                                  Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.

                                                                                                                                                  1

                                                                                                                                                  Si corresponde, sincronice el HdsTrialGroup objeto de grupo.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de iniciar una prueba. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  2

                                                                                                                                                  Activar prueba

                                                                                                                                                  Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado.

                                                                                                                                                  3

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  4

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas.

                                                                                                                                                  5

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  6

                                                                                                                                                  Completar la fase del ensayo con una de las siguientes acciones:

                                                                                                                                                  Activar prueba

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios).

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Iniciar prueba.

                                                                                                                                                  El estado del servicio cambia al modo de prueba.
                                                                                                                                                  4

                                                                                                                                                  Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación.

                                                                                                                                                  (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, HdsTrialGroup.)

                                                                                                                                                  Pruebe su implementación de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para probar escenarios de cifrado de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Configure su implementación de seguridad de datos híbridos.

                                                                                                                                                  • Active la prueba y agregue varios usuarios de prueba.

                                                                                                                                                  • Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.


                                                                                                                                                   

                                                                                                                                                  Si desactiva la implementación de seguridad de datos híbridos, el contenido de los espacios que crean los usuarios piloto ya no será accesible una vez que se hayan sustituido las copias almacenadas en caché del cliente de las claves de cifrado.

                                                                                                                                                  2

                                                                                                                                                  Envíe mensajes al nuevo espacio.

                                                                                                                                                  3

                                                                                                                                                  Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.

                                                                                                                                                  1. Para comprobar si un usuario establece primero un canal seguro en el KMS, filtre en kms.data.method=create y una kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como la siguiente (identificadores abreviados para facilitar la lectura):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Para comprobar si un usuario solicita una clave existente en KMS, filtre el kms.data.method=retrieve y una kms.data.type=KEY:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Para comprobar si un usuario solicita la creación de una nueva clave de KMS, filtre el kms.data.method=create y una kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Para comprobar si un usuario solicita la creación de un nuevo objeto de recurso de KMS (KRO) cuando se crea un espacio u otro recurso protegido, filtre en kms.data.method=create y una kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Debe encontrar una entrada como:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Supervisión del estado de la seguridad de datos híbridos

                                                                                                                                                  Un indicador de estado dentro de Control Hub le muestra si todo va bien con la implementación de seguridad de datos híbridos. Para obtener alertas más proactivas, inscríbase para recibir notificaciones por correo electrónico. Se le notificará cuando haya alarmas que afecten al servicio o actualizaciones de software.
                                                                                                                                                  1

                                                                                                                                                  En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración.

                                                                                                                                                  Aparecerá la página Configuración de seguridad de datos híbridos.
                                                                                                                                                  3

                                                                                                                                                  En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro.

                                                                                                                                                  Agregar o eliminar usuarios de su prueba

                                                                                                                                                  Después de activar una prueba y agregar el conjunto inicial de usuarios de prueba, puede agregar o eliminar miembros de prueba en cualquier momento mientras la prueba esté activa.

                                                                                                                                                  Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba.

                                                                                                                                                  4

                                                                                                                                                  Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar .

                                                                                                                                                  Pasar de la prueba a la producción

                                                                                                                                                  Cuando esté satisfecho de que su implementación está funcionando bien para los usuarios de prueba, puede pasar a producción. Cuando pase a producción, todos los usuarios de la organización utilizarán su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. No puede volver al modo de prueba desde la producción a menos que desactive el servicio como parte de la recuperación de desastres. La reactivación del servicio requiere que configure una nueva prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Estado del servicio, haga clic en Mover a producción.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea mover a todos sus usuarios a la producción.

                                                                                                                                                  Finalice su prueba sin pasar a la producción

                                                                                                                                                  Si, durante la prueba, decide no continuar con la implementación de seguridad de datos híbridos, puede desactivar la seguridad de datos híbridos, lo que finaliza la prueba y vuelve a trasladar a los usuarios de la prueba a los servicios de seguridad de datos en la nube. Los usuarios de la prueba perderán el acceso a los datos que se cifraron durante la prueba.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2

                                                                                                                                                  En Seguridad de datos híbridos, haga clic en Configuración.

                                                                                                                                                  3

                                                                                                                                                  En la sección Desactivar, haga clic en Desactivar.

                                                                                                                                                  4

                                                                                                                                                  Confirme que desea desactivar el servicio y finalice la prueba.

                                                                                                                                                  Administrar su implementación de HDS

                                                                                                                                                  Administrar la implementación de HDS

                                                                                                                                                  Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.

                                                                                                                                                  Definir la planificación de la mejora del grupo

                                                                                                                                                  Las actualizaciones de software para la seguridad de datos híbridos se realizan automáticamente a nivel de clúster, lo que garantiza que todos los nodos ejecuten siempre la misma versión de software. Las actualizaciones se realizan conforme a la planificación de actualización correspondiente al clúster. Cuando hay una actualización de software disponible, tiene la opción de actualizar el grupo manualmente antes del horario planificado para la actualización. Puede definir una planificación de mejora específica o emplear la predeterminada: 3:00 a. m. todos los días, Estados Unidos: América/Los Ángeles. También puede optar por posponer una próxima mejora, si es necesario.

                                                                                                                                                  Para configurar la planificación de la mejora:

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en el Control Hub.

                                                                                                                                                  2

                                                                                                                                                  En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  En la página Recursos de seguridad de datos híbridos, seleccione el grupo.

                                                                                                                                                  4

                                                                                                                                                  En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo.

                                                                                                                                                  5

                                                                                                                                                  En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización.

                                                                                                                                                  Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer.

                                                                                                                                                  Cambiar la configuración del nodo

                                                                                                                                                  Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:
                                                                                                                                                  • Cambio de certificados x.509 debido a caducidad u otras razones.


                                                                                                                                                     

                                                                                                                                                    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

                                                                                                                                                  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

                                                                                                                                                  • Creación de una nueva configuración para preparar un nuevo centro de datos.

                                                                                                                                                  Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

                                                                                                                                                  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

                                                                                                                                                  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

                                                                                                                                                  Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

                                                                                                                                                  Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

                                                                                                                                                  1

                                                                                                                                                  Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

                                                                                                                                                  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Descargue la última imagen estable para su entorno:

                                                                                                                                                    En entornos regulares:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    En entornos FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

                                                                                                                                                  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                    • En entornos normales sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos normales con un proxy HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • En entornos de FedRAMP sin proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

                                                                                                                                                  8. Importe el archivo ISO de configuración actual.

                                                                                                                                                  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

                                                                                                                                                    Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

                                                                                                                                                  2

                                                                                                                                                  Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos.

                                                                                                                                                  1. Instale el OVA del host HDS.

                                                                                                                                                  2. Configure la máquina virtual de HDS.

                                                                                                                                                  3. Monte el archivo de configuración actualizado.

                                                                                                                                                  4. Registre el nuevo nodo en Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

                                                                                                                                                  1. Apague la máquina virtual.

                                                                                                                                                  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

                                                                                                                                                  4. Marque Conectar en el encendido.

                                                                                                                                                  5. Guarde sus cambios y encienda la máquina virtual.

                                                                                                                                                  4

                                                                                                                                                  Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.

                                                                                                                                                  Desactivar el modo de resolución de DNS externo bloqueado

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.

                                                                                                                                                  Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Asegúrese de que sus servidores de DNS internos puedan resolver nombres de DNS públicos y de que sus nodos puedan comunicarse con ellos.
                                                                                                                                                  1

                                                                                                                                                  En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Descripción general (la página predeterminada).

                                                                                                                                                  Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si .

                                                                                                                                                  3

                                                                                                                                                  Vaya a la página Almacén de confianza y proxy.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Repita la prueba de conexión de proxy en cada nodo de su grupo de seguridad de datos híbridos.

                                                                                                                                                  Eliminar un nodo

                                                                                                                                                  Utilice este procedimiento para eliminar un nodo de seguridad de datos híbridos de la nube de Webex. Después de eliminar el nodo del clúster, elimine la máquina virtual para evitar un mayor acceso a sus datos de seguridad.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual.

                                                                                                                                                  2

                                                                                                                                                  Eliminar el nodo:

                                                                                                                                                  1. Inicie sesión en Control Hub y, a continuación, seleccione Servicios.

                                                                                                                                                  2. En la tarjeta de seguridad de datos híbridos, haga clic en Ver todo para ver la página de recursos de seguridad de datos híbridos.

                                                                                                                                                  3. Seleccione su grupo para mostrar el panel Descripción general.

                                                                                                                                                  4. Haga clic en Abrir lista de nodos.

                                                                                                                                                  5. En la ficha Nodos, seleccione el nodo que desea eliminar.

                                                                                                                                                  6. Haga clic en Acciones > Cancelar la inscripción del nodo.

                                                                                                                                                  3

                                                                                                                                                  En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar).

                                                                                                                                                  Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad.

                                                                                                                                                  Recuperación de desastres mediante el centro de datos en espera

                                                                                                                                                  El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.

                                                                                                                                                  Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:

                                                                                                                                                  Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la configuración a continuación o elimine la passiveMode configuración para activar el nodo. El nodo puede gestionar el tráfico una vez configurado.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe la salida del syslog para verificar que los nodos del centro de datos en espera no estén en modo pasivo. “KMS configurado en modo pasivo” no debería aparecer en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de la conmutación en caso de error, si el centro de datos primario vuelve a activarse, vuelva a colocar el centro de datos en modo pasivo siguiendo los pasos que se describen en Configuración del centro de datos en modo pasivo para la recuperación ante desastres.

                                                                                                                                                  (Opcional) Desmontar ISO después de la configuración de HDS

                                                                                                                                                  La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.

                                                                                                                                                  Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.

                                                                                                                                                  1

                                                                                                                                                  Apague uno de sus nodos de HDS.

                                                                                                                                                  2

                                                                                                                                                  En el dispositivo de servidor vCenter, seleccione el nodo HDS.

                                                                                                                                                  3

                                                                                                                                                  Elija Editar configuración > Unidad de CD/DVD y desmarque Archivo ISO del almacén de datos.

                                                                                                                                                  4

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos.

                                                                                                                                                  5

                                                                                                                                                  Repita para cada nodo de HDS.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Ver alertas y solucionar problemas

                                                                                                                                                  Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:

                                                                                                                                                  • No se pueden crear nuevos espacios (no se pueden crear nuevas claves)

                                                                                                                                                  • Los mensajes y los títulos de los espacios no se pueden descifrar para:

                                                                                                                                                    • Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)

                                                                                                                                                    • Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)

                                                                                                                                                  • Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado

                                                                                                                                                  Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.

                                                                                                                                                  Alertas

                                                                                                                                                  Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.

                                                                                                                                                  Tabla 1. Problemas comunes y pasos para resolverlos

                                                                                                                                                  Alerta

                                                                                                                                                  Acción

                                                                                                                                                  Error de acceso a la base de datos local.

                                                                                                                                                  Busque errores en la base de datos o problemas en la red local.

                                                                                                                                                  Error en la conexión de la base de datos local.

                                                                                                                                                  Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo.

                                                                                                                                                  Error de acceso a los servicios en la nube.

                                                                                                                                                  Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa.

                                                                                                                                                  Renovación del registro de los servicios en la nube.

                                                                                                                                                  Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso.

                                                                                                                                                  Se interrumpió el registro del servicio en la nube.

                                                                                                                                                  La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando.

                                                                                                                                                  Servicio aún no activado.

                                                                                                                                                  Active una prueba o termine de trasladar la prueba a producción.

                                                                                                                                                  El dominio configurado no coincide con el certificado del servidor.

                                                                                                                                                  Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado.

                                                                                                                                                  La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial.

                                                                                                                                                  No se pudo autenticar en los servicios en la nube.

                                                                                                                                                  Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio.

                                                                                                                                                  No se pudo abrir el archivo de almacén de claves local.

                                                                                                                                                  Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local.

                                                                                                                                                  El certificado del servidor local no es válido.

                                                                                                                                                  Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza.

                                                                                                                                                  No se pueden publicar las métricas.

                                                                                                                                                  Compruebe el acceso de la red local a los servicios externos en la nube.

                                                                                                                                                  El directorio /media/configdrive/hds no existe.

                                                                                                                                                  Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente.

                                                                                                                                                  Solucionar problemas de seguridad de datos híbridos

                                                                                                                                                  Utilice las siguientes pautas generales para solucionar problemas con la seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí.

                                                                                                                                                  2

                                                                                                                                                  Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Comuníquese con el soporte de Cisco.

                                                                                                                                                  Otras notas

                                                                                                                                                  Problemas conocidos de seguridad de datos híbridos

                                                                                                                                                  • Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.

                                                                                                                                                  • Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.

                                                                                                                                                    El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).

                                                                                                                                                  Usar OpenSSL para generar un archivo PKCS12

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.

                                                                                                                                                  • Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.

                                                                                                                                                  • Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.

                                                                                                                                                  • Cree una clave privada.

                                                                                                                                                  • Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).

                                                                                                                                                  1

                                                                                                                                                  Cuando reciba el certificado del servidor de su CA, guárdelo como hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Muestre el certificado como texto y verifique los detalles.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilice un editor de texto para crear un archivo de paquete de certificado llamado hdsnode-bundle.pem. El archivo de paquete debe incluir el certificado del servidor, cualquier certificado de CA intermedia y los certificados de CA raíz, en el siguiente formato:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Cree el archivo .p12 con el nombre descriptivo kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Compruebe los detalles del certificado del servidor.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Introduzca una contraseña en el mensaje para cifrar la clave privada de forma que aparezca en la salida. A continuación, verifique que la clave privada y el primer certificado incluyan las líneas friendlyName: kms-private-key.

                                                                                                                                                    Ejemplo:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).


                                                                                                                                                   

                                                                                                                                                  Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original.

                                                                                                                                                  Tráfico entre los nodos de HDS y la nube

                                                                                                                                                  Tráfico de recopilación de métricas salientes

                                                                                                                                                  Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).

                                                                                                                                                  Tráfico entrante

                                                                                                                                                  Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:

                                                                                                                                                  • Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado

                                                                                                                                                  • Actualizaciones al software del nodo

                                                                                                                                                  Configurar proxies de Squid para la seguridad de datos híbridos

                                                                                                                                                  Websocket no puede conectarse a través del proxy de Squid

                                                                                                                                                  Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.

                                                                                                                                                  Calamar 4 y 5

                                                                                                                                                  Agregue el on_unsupported_protocol directiva squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Prefacio

                                                                                                                                                  Información nueva y modificada

                                                                                                                                                  Fecha

                                                                                                                                                  Cambios realizados

                                                                                                                                                  20 de octubre de 2023

                                                                                                                                                  07 de agosto de 2023

                                                                                                                                                  23 de mayo de 2023

                                                                                                                                                  06 de diciembre de 2022

                                                                                                                                                  23 de noviembre de 2022

                                                                                                                                                  13 de octubre de 2021

                                                                                                                                                  Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker.

                                                                                                                                                  24 de junio de 2021

                                                                                                                                                  Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12.

                                                                                                                                                  30 de abril de 2021

                                                                                                                                                  Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información.

                                                                                                                                                  24 de febrero de 2021

                                                                                                                                                  La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información.

                                                                                                                                                  2 de febrero de 2021

                                                                                                                                                  HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  11 de enero de 2021

                                                                                                                                                  Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS.

                                                                                                                                                  13 de octubre de 2020

                                                                                                                                                  Actualización de Descargar archivos de instalación.

                                                                                                                                                  8 de octubre de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP.

                                                                                                                                                  viernes, 14 de agosto de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión.

                                                                                                                                                  5 de agosto de 2020

                                                                                                                                                  Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro.

                                                                                                                                                  Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts.

                                                                                                                                                  16 de junio de 2020

                                                                                                                                                  Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub.

                                                                                                                                                  4 de junio de 2020

                                                                                                                                                  Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer.

                                                                                                                                                  29 de mayo de 2020

                                                                                                                                                  Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones.

                                                                                                                                                  5 de mayo de 2020

                                                                                                                                                  Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5.

                                                                                                                                                  21 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI.

                                                                                                                                                  1 de abril de 2020

                                                                                                                                                  Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales.

                                                                                                                                                  20 de febrero de 2020Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS.
                                                                                                                                                  4 de febrero de 2020Actualización de los requisitos del servidor proxy.
                                                                                                                                                  16 de diciembre de 2019Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy.
                                                                                                                                                  19 de noviembre de 2019

                                                                                                                                                  Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones:

                                                                                                                                                  8 de noviembre de 2019

                                                                                                                                                  Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después.

                                                                                                                                                  Se han actualizado las siguientes secciones en consecuencia:


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  6 de septiembre de 2019

                                                                                                                                                  Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos).

                                                                                                                                                  29 de agosto de 2019.Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto.
                                                                                                                                                  20 de agosto de 2019

                                                                                                                                                  Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex.

                                                                                                                                                  Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex.

                                                                                                                                                  13 de junio de 2019Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios.
                                                                                                                                                  6 de marzo de 2019
                                                                                                                                                  28 de febrero de 2019.
                                                                                                                                                  • Se corrigió la cantidad de espacio en disco duro local por servidor que debe reservar al preparar los hosts virtuales que se convierten en nodos de seguridad de datos híbridos, de 50 GB a 20 GB, para reflejar el tamaño del disco que crea el archivo OVA.

                                                                                                                                                  26 de febrero de 2019
                                                                                                                                                  • Los nodos de Hybrid Data Security ahora admiten conexiones cifradas con servidores de base de datos PostgreSQL y conexiones de registro cifradas a un servidor syslog compatible con TLS. Se actualizó la opción Crear una ISO de configuración para los hosts HDS con instrucciones.

                                                                                                                                                  • Se eliminaron las URL de destino de la tabla "Requisitos de conectividad a Internet para máquinas virtuales de nodos de seguridad de datos híbridos". La tabla ahora se refiere a la lista mantenida en la tabla "Direcciones URL adicionales para los servicios híbridos de Webex Teams" de Requisitos de red para los servicios de Webex Teams.

                                                                                                                                                  24 de enero de 2019.

                                                                                                                                                  • Hybrid Data Security ahora admite Microsoft SQL Server como base de datos. SQL Server Always On (grupos de conmutación por error siempre activado y grupos de disponibilidad siempre activado) es compatible con los controladores JDBC que se utilizan en la seguridad de datos híbridos. Se agregó contenido relacionado con la implementación con SQL Server.


                                                                                                                                                     

                                                                                                                                                    La compatibilidad con Microsoft SQL Server está destinada únicamente a nuevas implementaciones de Hybrid Data Security. Actualmente, no admitimos la migración de datos de PostgreSQL a Microsoft SQL Server en una implementación existente.

                                                                                                                                                  5 de noviembre de 2018
                                                                                                                                                  19 de octubre de 2018

                                                                                                                                                  31 de julio de 2018

                                                                                                                                                  21 de mayo de 2018

                                                                                                                                                  Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:

                                                                                                                                                  • La Seguridad de datos híbridos de Cisco Spark ahora es Seguridad de datos híbridos.

                                                                                                                                                  • La aplicación Cisco Spark ahora es la aplicación Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud ahora es la nube de Webex.

                                                                                                                                                  11 de abril de 2018
                                                                                                                                                  22 de febrero de 2018
                                                                                                                                                  • Se agregó información sobre la contraseña de la cuenta de servicio durante 9 meses y el uso de la herramienta de configuración de HDS para restablecer las contraseñas de la cuenta de servicio, en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y Change the Node Configuration (Cambiar la configuración del nodo).

                                                                                                                                                  15 de febrero de 2018
                                                                                                                                                  • En la tabla Requisitos del certificado X.509, se especifica que el certificado no puede ser un certificado comodín y que el KMS utiliza el dominio CN, no cualquier dominio definido en los campos SAN x.509v3.

                                                                                                                                                  18 de enero de 2018

                                                                                                                                                  2 de noviembre de 2017

                                                                                                                                                  • Se ha aclarado la sincronización de directorios de HdsTrialGroup.

                                                                                                                                                  • Se corrigieron instrucciones para cargar el archivo de configuración ISO para su montaje en los nodos de VM.

                                                                                                                                                  viernes, 18 de agosto de 2017

                                                                                                                                                  Primera publicación

                                                                                                                                                  Introducción a la seguridad de datos híbrida

                                                                                                                                                  Descripción general de la seguridad de datos híbridos

                                                                                                                                                  Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.

                                                                                                                                                  De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.

                                                                                                                                                  Arquitectura del dominio de seguridad

                                                                                                                                                  La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.

                                                                                                                                                  Reinos de separación (sin Seguridad de datos híbridos)

                                                                                                                                                  Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.

                                                                                                                                                  En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:

                                                                                                                                                  1. El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.

                                                                                                                                                  2. El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.

                                                                                                                                                  3. El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.

                                                                                                                                                  4. El mensaje cifrado se almacena en el reino de almacenamiento.

                                                                                                                                                  Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.

                                                                                                                                                  Colaboración con otras organizaciones

                                                                                                                                                  Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.

                                                                                                                                                  El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.

                                                                                                                                                  Expectativas para el despliegue de seguridad de datos híbridos

                                                                                                                                                  Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.

                                                                                                                                                  Para implementar la seguridad de datos híbridos, debe proporcionar:

                                                                                                                                                  La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:

                                                                                                                                                  • Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.

                                                                                                                                                  • Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.


                                                                                                                                                   

                                                                                                                                                  No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.

                                                                                                                                                  Proceso de configuración de alto nivel

                                                                                                                                                  Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:

                                                                                                                                                  • Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.

                                                                                                                                                    Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.

                                                                                                                                                  • Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.

                                                                                                                                                  • Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.

                                                                                                                                                  Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).

                                                                                                                                                  Modelo de implementación de seguridad de datos híbridos

                                                                                                                                                  La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).

                                                                                                                                                  Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.

                                                                                                                                                  Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.

                                                                                                                                                  Solo admitimos un solo grupo por organización.

                                                                                                                                                  Modo de prueba de seguridad de datos híbridos

                                                                                                                                                  Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.

                                                                                                                                                  Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.

                                                                                                                                                  Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.

                                                                                                                                                  Centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Conmutación por error manual al centro de datos en espera

                                                                                                                                                  Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.


                                                                                                                                                   

                                                                                                                                                  Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo.

                                                                                                                                                  Configurar el centro de datos en espera para la recuperación de desastres

                                                                                                                                                  Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).

                                                                                                                                                  • Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.

                                                                                                                                                  1

                                                                                                                                                  Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.


                                                                                                                                                   

                                                                                                                                                  El archivo ISO debe ser una copia del archivo ISO original del centro de datos primario en el que se deben realizar las siguientes actualizaciones de configuración.

                                                                                                                                                  2

                                                                                                                                                  Después de configurar el servidor Syslogd, haga clic en Configuración avanzada

                                                                                                                                                  3

                                                                                                                                                  En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar.

                                                                                                                                                  5

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  6

                                                                                                                                                  En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración..

                                                                                                                                                  7

                                                                                                                                                  Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.


                                                                                                                                                   

                                                                                                                                                  Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos.

                                                                                                                                                  8

                                                                                                                                                  Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos.

                                                                                                                                                  9

                                                                                                                                                  Repita el proceso para cada nodo del centro de datos en espera.


                                                                                                                                                   

                                                                                                                                                  Compruebe los registros de sistema para verificar que los nodos estén en modo pasivo. Debería poder ver el mensaje “KMS configurado en modo pasivo” en los syslogs.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.

                                                                                                                                                  Soporte de proxy

                                                                                                                                                  La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.

                                                                                                                                                  Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:

                                                                                                                                                  • Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.

                                                                                                                                                  • Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).

                                                                                                                                                  • Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:

                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:

                                                                                                                                                      • HTTP: visualiza y controla todas las solicitudes que envía el cliente.

                                                                                                                                                      • HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible si selecciona HTTP o HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo si selecciona HTTPS como protocolo proxy.

                                                                                                                                                        Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.

                                                                                                                                                  Ejemplo de nodos de seguridad de datos híbridos y proxy

                                                                                                                                                  Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.

                                                                                                                                                  Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)

                                                                                                                                                  Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  Requisitos para la seguridad de datos híbridos

                                                                                                                                                  Requisitos de licencias de Cisco Webex

                                                                                                                                                  Para implementar la seguridad de datos híbridos:

                                                                                                                                                  Requisitos de escritorio de Docker

                                                                                                                                                  Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".

                                                                                                                                                  Requisitos del certificado X.509

                                                                                                                                                  La cadena de certificados debe cumplir los siguientes requisitos:

                                                                                                                                                  Tabla 1. Requisitos de certificados X.509 para la implementación de seguridad de datos híbridos

                                                                                                                                                  Requisito

                                                                                                                                                  Detalles

                                                                                                                                                  • Firmado por una autoridad de certificación (CA) de confianza

                                                                                                                                                  De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Lleva un nombre de dominio de nombre común (CN) que identifica su implementación de seguridad de datos híbridos

                                                                                                                                                  • No es un certificado comodín

                                                                                                                                                  No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: hds.company.com.

                                                                                                                                                  El nombre común no debe contener un * (comodín).

                                                                                                                                                  El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN.

                                                                                                                                                  Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción.

                                                                                                                                                  • Firma que no es SHA1

                                                                                                                                                  El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones.

                                                                                                                                                  • Formateado como un archivo PKCS #12 protegido con contraseña

                                                                                                                                                  • Utilice el nombre amigable de kms-private-key para etiquetar el certificado, la clave privada y los certificados intermedios que se van a cargar.

                                                                                                                                                  Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado.

                                                                                                                                                  Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS.

                                                                                                                                                  El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.

                                                                                                                                                  Requisitos del host virtual

                                                                                                                                                  Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:

                                                                                                                                                  • Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro

                                                                                                                                                  • VMware ESXi 6.5 (o posterior) instalado y en ejecución.


                                                                                                                                                     

                                                                                                                                                    Debe realizar una mejora si tiene una versión anterior de ESXi.

                                                                                                                                                  • Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor

                                                                                                                                                  Requisitos del servidor de base de datos


                                                                                                                                                   

                                                                                                                                                  Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos.

                                                                                                                                                  Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:

                                                                                                                                                  Tabla 2. Requisitos del servidor de base de datos por tipo de base de datos

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 o 16, instalado y en ejecución.

                                                                                                                                                  • SQL Server 2016, 2017 o 2019 (Enterprise o Standard) instalado.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 requiere Service Pack 2 y la actualización acumulativa 2 o posterior.

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento)

                                                                                                                                                  El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Controlador JDBC de Postgres 42.2.5

                                                                                                                                                  Controlador JDBC de SQL Server 4.6

                                                                                                                                                  Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada).

                                                                                                                                                  Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server

                                                                                                                                                  Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:

                                                                                                                                                  • Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.

                                                                                                                                                  • La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.

                                                                                                                                                  • Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).

                                                                                                                                                  • Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.

                                                                                                                                                    La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.

                                                                                                                                                  Requisitos de conectividad externa

                                                                                                                                                  Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:

                                                                                                                                                  Aplicación

                                                                                                                                                  Protocolo

                                                                                                                                                  Puerto

                                                                                                                                                  Dirección desde la aplicación

                                                                                                                                                  Destino

                                                                                                                                                  Nodos de seguridad de datos híbridos

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS y WSS salientes

                                                                                                                                                  • Servidores de Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • Otras URL listadas para la seguridad de datos híbridos en la tabla Direcciones URL adicionales para los servicios híbridos de Webex de Requisitos de red para los servicios de Webex

                                                                                                                                                  Herramienta de configuración de HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS saliente

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Todos los hosts de Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.

                                                                                                                                                  Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:

                                                                                                                                                  Región

                                                                                                                                                  URL de host de identidad común

                                                                                                                                                  América

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unión Europea

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canadá

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Requisitos del servidor proxy

                                                                                                                                                  • Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.

                                                                                                                                                  • Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:

                                                                                                                                                    • Sin autenticación con HTTP o HTTPS

                                                                                                                                                    • Autenticación básica con HTTP o HTTPS

                                                                                                                                                    • Digerir la autenticación solo con HTTPS

                                                                                                                                                  • Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.

                                                                                                                                                  • La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.

                                                                                                                                                  • Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para wbx2.com y una ciscospark.com resolverá el problema.

                                                                                                                                                  Completar los requisitos previos para la seguridad de datos híbridos

                                                                                                                                                  Utilice esta lista de verificación para asegurarse de estar listo para instalar y configurar su grupo de seguridad de datos híbridos.
                                                                                                                                                  1

                                                                                                                                                  Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso.

                                                                                                                                                  2

                                                                                                                                                  Elija un nombre de dominio para su implementación de HDS (por ejemplo: hds.company.com) y obtener una cadena de certificados que contenga un certificado X.509, una clave privada y cualquier certificado intermedio. La cadena de certificados debe cumplir los requisitos de Requisitos de certificados X.509.

                                                                                                                                                  3

                                                                                                                                                  Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual.

                                                                                                                                                  4

                                                                                                                                                  Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales.

                                                                                                                                                  1. Cree una base de datos para el almacenamiento de claves. (Debe crear esta base de datos; no utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos).

                                                                                                                                                  2. Recopile los detalles que los nodos utilizarán para comunicarse con el servidor de base de datos:

                                                                                                                                                    • el nombre de host o la dirección IP (host) y el puerto

                                                                                                                                                    • el nombre de la base de datos (dbname) para el almacenamiento de claves

                                                                                                                                                    • el nombre de usuario y la contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves

                                                                                                                                                  5

                                                                                                                                                  Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales.

                                                                                                                                                  6

                                                                                                                                                  Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.


                                                                                                                                                   

                                                                                                                                                  Dado que los nodos de Hybrid Data Security almacenan las claves utilizadas para el cifrado y descifrado del contenido, si no se mantiene un despliegue operativo, se producirá la PÉRDIDA IRRECUPERABLE de dicho contenido.

                                                                                                                                                  Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico.

                                                                                                                                                  8

                                                                                                                                                  Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa.

                                                                                                                                                  9

                                                                                                                                                  Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080.

                                                                                                                                                  Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información.

                                                                                                                                                  Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa.

                                                                                                                                                  10

                                                                                                                                                  Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy.

                                                                                                                                                  11

                                                                                                                                                  Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado HdsTrialGroup, y agregue usuarios piloto. El grupo de prueba puede tener hasta 250 usuarios. El HdsTrialGroup el objeto debe sincronizarse con la nube antes de poder iniciar una prueba para su organización. Para sincronizar un objeto de grupo, selecciónelo en el del Conector de directorios Configuración > Selección de objetos. (Para obtener instrucciones detalladas, consulte la Guía de implementación para el Conector de directorios de Cisco.).


                                                                                                                                                   

                                                                                                                                                  El creador del espacio establece las claves para un espacio determinado. Al seleccionar usuarios piloto, tenga en cuenta que si decide desactivar permanentemente la implementación de seguridad de datos híbridos, todos los usuarios perderán el acceso al contenido en los espacios creados por los usuarios piloto. La pérdida se hace evidente tan pronto como las aplicaciones de los usuarios actualizan sus copias almacenadas en caché del contenido.

                                                                                                                                                  Configurar un grupo de seguridad de datos híbridos

                                                                                                                                                  Flujo de tareas de despliegue de seguridad de datos híbridos

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Preparar su entorno

                                                                                                                                                  1

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  Descargue el archivo OVA a su máquina local para utilizarlo más adelante.

                                                                                                                                                  2

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos.

                                                                                                                                                  3

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  4

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  5

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario.

                                                                                                                                                  7

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Complete la configuración del clúster.

                                                                                                                                                  9

                                                                                                                                                  Ejecutar una prueba y pasar a producción (siguiente capítulo)

                                                                                                                                                  Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.

                                                                                                                                                  Descargar archivos de instalación

                                                                                                                                                  En esta tarea, descarga un archivo OVA en su equipo (no en los servidores que configura como nodos de seguridad de datos híbridos). Este archivo se utiliza más adelante en el proceso de instalación.
                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios.

                                                                                                                                                  2

                                                                                                                                                  En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar.

                                                                                                                                                  Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.


                                                                                                                                                   

                                                                                                                                                  También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda de la página Configuración. En la tarjeta de seguridad de datos híbridos, haga clic en Editar configuración para abrir la página. A continuación, haga clic en Descargar software de seguridad de datos híbridos en la sección Ayuda.


                                                                                                                                                   

                                                                                                                                                  Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede provocar problemas al actualizar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA.

                                                                                                                                                  3

                                                                                                                                                  Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
                                                                                                                                                  4

                                                                                                                                                  También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía.

                                                                                                                                                  Crear una ISO de configuración para los hosts HDS

                                                                                                                                                  El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

                                                                                                                                                    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:

                                                                                                                                                    Descripción

                                                                                                                                                    Variable

                                                                                                                                                    HTTP Proxy sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sin autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS con autenticación

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • El archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:

                                                                                                                                                    • Credenciales de base de datos

                                                                                                                                                    • Actualizaciones de certificados

                                                                                                                                                    • Cambios en la política de autorización

                                                                                                                                                  • Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.

                                                                                                                                                  1

                                                                                                                                                  En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

                                                                                                                                                  2

                                                                                                                                                  Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Cuando se le solicite la contraseña, ingrese este hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Descargue la última imagen estable para su entorno:

                                                                                                                                                  En entornos regulares:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  En entornos FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

                                                                                                                                                  • En entornos normales sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos normales con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • En entornos de FedRAMP sin proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • En entornos FedRAMP con un proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  La herramienta de configuración no admite la conexión con localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host regional.

                                                                                                                                                  Utilice un navegador web para ir al host regional, http://127.0.0.1:8080, e introduzca el nombre de usuario de administrador del cliente para Control Hub en el mensaje.

                                                                                                                                                  La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar.

                                                                                                                                                  7

                                                                                                                                                  Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos.

                                                                                                                                                  8

                                                                                                                                                  En la página de descripción general de la herramienta de configuración, haga clic en Comenzar.

                                                                                                                                                  9

                                                                                                                                                  En la página Importación ISO, tiene las siguientes opciones:

                                                                                                                                                  • No: si está creando su primer nodo HDS, no tiene un archivo ISO para cargar.
                                                                                                                                                  • : si ya ha creado nodos HDS, seleccione su archivo ISO en la navegación y cárguelo.
                                                                                                                                                  10

                                                                                                                                                  Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.

                                                                                                                                                  • Si nunca ha cargado un certificado antes, cargue el certificado X.509, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  • Si el certificado es correcto, haga clic en Continuar.
                                                                                                                                                  • Si su certificado ha caducado o desea reemplazarlo, seleccione No en Continue using HDS certificate chain and private key from previous ISO? (Continuar usando la cadena de certificados de HDS y la clave privada de la ISO anterior). Cargue un certificado X.509 nuevo, introduzca la contraseña y haga clic en Continuar.
                                                                                                                                                  11

                                                                                                                                                  Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave:

                                                                                                                                                  1. Seleccione el Tipo de base de datos (PostgreSQL o Microsoft SQL Server).

                                                                                                                                                    Si elige Microsoft SQL Server, obtendrá un campo Tipo de autenticación.

                                                                                                                                                  2. (solo Microsoft SQL Server) Seleccione su Tipo de autenticación:

                                                                                                                                                    • Autenticación básica: Necesita un nombre de cuenta de SQL Server local en el campo Nombre de usuario.

                                                                                                                                                    • Autenticación de Windows: Necesita una cuenta de Windows con el formato username@DOMAIN en el campo Nombre de usuario.

                                                                                                                                                  3. Introduzca la dirección del servidor de base de datos en el formulario <hostname>:<port> o <IP-address>:<port>.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    dbhost.example.org:1433 o 198.51.100.17:1433

                                                                                                                                                    Puede utilizar una dirección IP para la autenticación básica si los nodos no pueden utilizar DNS para resolver el nombre de host.

                                                                                                                                                    Si utiliza la autenticación de Windows, debe introducir un nombre de dominio totalmente calificado con el formato dbhost.example.org:1433

                                                                                                                                                  4. Introduzca el Nombre de base de datos.

                                                                                                                                                  5. Ingrese el Nombre de usuario y la Contraseña de un usuario con todos los privilegios en la base de datos de almacenamiento de claves.

                                                                                                                                                  12

                                                                                                                                                  Seleccione un modo de conexión de base de datos de TLS:

                                                                                                                                                  Modo

                                                                                                                                                  Descripción

                                                                                                                                                  Prefiero TLS (opción predeterminada)

                                                                                                                                                  Los nodos HDS no requieren TLS para conectarse al servidor de la servidor de base de datos de datos. Si activa TLS en el servidor de base de datos, los nodos intentan una conexión cifrada.

                                                                                                                                                  Requerir TLS

                                                                                                                                                  Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  Requerir TLS y verificar al firmante del certificado


                                                                                                                                                   

                                                                                                                                                  Este modo no se aplica a las bases de datos de SQL Server.

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Requerir TLS y verificar el firmante del certificado y el nombre de host

                                                                                                                                                  • Los nodos HDS se conectan solo si el servidor de la servidor de base de datos puede negociar TLS.

                                                                                                                                                  • Después de establecer una conexión TLS, el nodo compara el firmante del certificado del servidor de base de datos con la autoridad de certificación en el Certificado raíz de base de datos. Si no coinciden, el nodo interrumpe la conexión.

                                                                                                                                                  • Los nodos también verifican que el nombre de host del certificado del servidor coincida con el nombre de host del campo Puerto y host de base de datos. Los nombres deben coincidir exactamente o el nodo interrumpe la conexión.

                                                                                                                                                  Utilice el certificado raíz de la base de datos control debajo del menú desplegable para cargar el certificado raíz para esta opción.

                                                                                                                                                  Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente).

                                                                                                                                                  13

                                                                                                                                                  En la página Registros del sistema, configure su servidor Syslogd:

                                                                                                                                                  1. Introduzca la URL del servidor syslog.

                                                                                                                                                    Si el servidor no se puede resolver con DNS desde los nodos de su grupo de HDS, utilice una dirección IP en la URL.

                                                                                                                                                    Ejemplo:
                                                                                                                                                    udp://10.92.43.23:514 indica el registro al host Syslogd 10.92.43.23 en el puerto UDP 514.
                                                                                                                                                  2. Si ha configurado su servidor para utilizar el cifrado TLS, marque ¿Está configurado su servidor syslog para el cifrado SSL?.

                                                                                                                                                    Si marca esta casilla de verificación, asegúrese de introducir una URL de TCP como tcp://10.92.43.23:514.

                                                                                                                                                  3. En la lista desplegable Elegir terminación de registros de syslog, elija la configuración adecuada para su archivo ISO: Choose o Newline se utiliza para Graylog y Rsyslog TCP

                                                                                                                                                    • Byte nulo -- \x00

                                                                                                                                                    • Línea nueva -- \n: seleccione esta opción para Graylog y Rsyslog TCP.

                                                                                                                                                  4. Haga clic en Continuar.

                                                                                                                                                  14

                                                                                                                                                  (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio).

                                                                                                                                                  Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores.

                                                                                                                                                  16

                                                                                                                                                  Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar.

                                                                                                                                                  17

                                                                                                                                                  Haga una copia de seguridad del archivo ISO en su sistema local.

                                                                                                                                                  Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración.

                                                                                                                                                  18

                                                                                                                                                  Para cerrar la herramienta de configuración, escriba CTRL+C.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.


                                                                                                                                                   

                                                                                                                                                  Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes.

                                                                                                                                                  Instalar el OVA de host de HDS

                                                                                                                                                  Utilice este procedimiento para crear una máquina virtual a partir del archivo OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi.

                                                                                                                                                  2

                                                                                                                                                  Seleccione Archivo > Implementar plantilla OVF.

                                                                                                                                                  3

                                                                                                                                                  En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente.

                                                                                                                                                  4

                                                                                                                                                  En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente.

                                                                                                                                                  Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla.

                                                                                                                                                  6

                                                                                                                                                  Compruebe los detalles de la plantilla y haga clic en Siguiente.

                                                                                                                                                  7

                                                                                                                                                  Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente.

                                                                                                                                                  8

                                                                                                                                                  En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales.

                                                                                                                                                  9

                                                                                                                                                  En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual.

                                                                                                                                                  10

                                                                                                                                                  En la página Personalizar plantilla, configure los siguientes ajustes de red:

                                                                                                                                                  • Nombre de host: introduzca el FQDN (nombre de host y dominio) o un nombre de host de una sola palabra para el nodo.

                                                                                                                                                     
                                                                                                                                                    • No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                    • Para garantizar una inscripción exitosa en la nube, utilice solo caracteres en minúsculas en el FQDN o el nombre de host que haya establecido para el nodo. El uso de mayúsculas no es compatible por el momento.

                                                                                                                                                    • La longitud total del FQDN no debe exceder los 64 caracteres.

                                                                                                                                                  • Dirección IP: introduzca la dirección IP para la interfaz interna del nodo.

                                                                                                                                                     

                                                                                                                                                    Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  • Máscara: introduzca la dirección de máscara de subred en la notación de puntos decimales. Por ejemplo, 255.255.255.0.
                                                                                                                                                  • Gateway: introduzca la dirección IP de la gateway. Una puerta de enlace es un nodo de red que sirve como punto de acceso a otra red.
                                                                                                                                                  • Servidores DNS: introduzca una lista de servidores DNS separados por comas, que manejen la traducción de nombres de dominio a direcciones IP numéricas. (Se permiten hasta 4 entradas de DNS).
                                                                                                                                                  • Servidores NTP: introduzca el servidor NTP de su organización u otro servidor NTP externo que se pueda utilizar en su organización. Es posible que los servidores NTP predeterminados no funcionen para todas las empresas. También puede utilizar una lista separada por comas para introducir varios servidores NTP.
                                                                                                                                                  • Implemente todos los nodos en la misma subred o VLAN, de manera que todos los nodos de un grupo sean accesibles desde los clientes de su red con fines administrativos.

                                                                                                                                                  Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.


                                                                                                                                                   

                                                                                                                                                  La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores.

                                                                                                                                                  11

                                                                                                                                                  Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija Encendido > Encendido.

                                                                                                                                                  El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo.

                                                                                                                                                  Sugerencias para la solución de problemas

                                                                                                                                                  Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión.

                                                                                                                                                  Configurar la máquina virtual de seguridad de datos híbridos

                                                                                                                                                  Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.

                                                                                                                                                  1

                                                                                                                                                  En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola.

                                                                                                                                                  La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
                                                                                                                                                  2

                                                                                                                                                  Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales:

                                                                                                                                                  1. Nombre de usuario: admin

                                                                                                                                                  2. Contraseña: cisco

                                                                                                                                                  Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador.

                                                                                                                                                  3

                                                                                                                                                  Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración.

                                                                                                                                                  4

                                                                                                                                                  Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP.

                                                                                                                                                  5

                                                                                                                                                  (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red.

                                                                                                                                                  No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509.

                                                                                                                                                  6

                                                                                                                                                  Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto.

                                                                                                                                                  Cargar y montar la ISO de configuración de HDS

                                                                                                                                                  Utilice este procedimiento para configurar la máquina virtual desde el archivo ISO que creó con la herramienta de configuración de HDS.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.

                                                                                                                                                  1

                                                                                                                                                  Cargue el archivo ISO desde su computadora:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic en el servidor ESXi.

                                                                                                                                                  2. En la lista Hardware de la ficha Configuración, haga clic en Almacenamiento.

                                                                                                                                                  3. En la lista Almacén de datos, haga clic con el botón derecho en el almacén de datos de sus máquinas virtuales y haga clic en Examinar almacén de datos.

                                                                                                                                                  4. Haga clic en el icono Cargar archivos y, a continuación, en Cargar archivo.

                                                                                                                                                  5. Diríjase a la ubicación en la que descargó el archivo ISO en su equipo y haga clic en Abrir.

                                                                                                                                                  6. Haga clic en para aceptar la advertencia de operación de carga/descarga y cierre el cuadro de diálogo del almacén de datos.

                                                                                                                                                  2

                                                                                                                                                  Monte el archivo ISO:

                                                                                                                                                  1. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

                                                                                                                                                  2. Haga clic en Aceptar para aceptar la advertencia de opciones de edición restringidas.

                                                                                                                                                  3. Haga clic en CD/DVD Drive 1, seleccione la opción para montar desde un archivo ISO de almacén de datos y diríjase a la ubicación donde cargó el archivo ISO de configuración.

                                                                                                                                                  4. Compruebe Conectado y Conectar cuando se encienda.

                                                                                                                                                  5. Guarde los cambios y reinicie la máquina virtual.

                                                                                                                                                  Qué hacer a continuación

                                                                                                                                                  Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.

                                                                                                                                                  Configurar el nodo de HDS para la integración de proxy

                                                                                                                                                  Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  1

                                                                                                                                                  Introduzca la URL de configuración del nodo de HDS https://[HDS Node IP or FQDN]/setup en un navegador web, introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión.

                                                                                                                                                  2

                                                                                                                                                  Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:

                                                                                                                                                  • Sin proxy: la opción predeterminada antes de integrar un proxy. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
                                                                                                                                                  • Proxy de inspección transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios en la configuración de HTTPS en la implementación de seguridad de datos híbridos; sin embargo, los nodos HDS necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
                                                                                                                                                  • Proxy explícito: con el proxy explícito, se le indica al cliente (nodos HDS) qué servidor proxy debe utilizar, y esta opción admite varios tipos de autenticación. Después de elegir esta opción, debe introducir la siguiente información:
                                                                                                                                                    1. IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.

                                                                                                                                                    2. Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.

                                                                                                                                                    3. Protocolo proxy: elija http (ve y controla todas las solicitudes que se reciben del cliente) o https (proporciona un canal al servidor y el cliente recibe y valida el certificado del servidor). Elija una opción en función de lo que admita su servidor proxy.

                                                                                                                                                    4. Tipo de autenticación: elija entre los siguientes tipos de autenticación:

                                                                                                                                                      • Ninguno: no se requiere autenticación adicional.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                      • Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.

                                                                                                                                                        Disponible para proxies HTTP o HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                      • Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.

                                                                                                                                                        Disponible solo para proxies HTTPS.

                                                                                                                                                        Si elige esta opción, también debe introducir el nombre de usuario y la contraseña.

                                                                                                                                                  Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy.

                                                                                                                                                  El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo.

                                                                                                                                                  4

                                                                                                                                                  Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy.

                                                                                                                                                  Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema.

                                                                                                                                                  Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado.

                                                                                                                                                  5

                                                                                                                                                  Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto.

                                                                                                                                                  6

                                                                                                                                                  Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo.

                                                                                                                                                  El nodo se reinicia en unos minutos.

                                                                                                                                                  7

                                                                                                                                                  Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde.

                                                                                                                                                  La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy.

                                                                                                                                                  Inscribir el primer nodo en el grupo

                                                                                                                                                  Esta tarea toma el nodo genérico que creó en Configurar la máquina virtual de seguridad de datos híbridos, registra el nodo en la nube de Webex y lo convierte en un nodo de seguridad de datos híbridos.

                                                                                                                                                  Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.

                                                                                                                                                  Antes de comenzar

                                                                                                                                                  • Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.

                                                                                                                                                  • Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Inicie sesión en https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  En el menú del lado izquierdo de la pantalla, seleccione Servicios.

                                                                                                                                                  3

                                                                                                                                                  En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar.

                                                                                                                                                  Aparece la página Registrar nodo de seguridad de datos híbridos.
                                                                                                                                                  4

                                                                                                                                                  Seleccione para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente.

                                                                                                                                                  5

                                                                                                                                                  En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos.

                                                                                                                                                  Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas"

                                                                                                                                                  6

                                                                                                                                                  En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente.

                                                                                                                                                  Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos.

                                                                                                                                                  Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
                                                                                                                                                  7

                                                                                                                                                  Haga clic en Ir al nodo.

                                                                                                                                                  8

                                                                                                                                                  En el mensaje de advertencia, haga clic en Continuar.

                                                                                                                                                  Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
                                                                                                                                                  9

                                                                                                                                                  Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar.

                                                                                                                                                  Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
                                                                                                                                                  10

                                                                                                                                                  Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub.

                                                                                                                                                  En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.

                                                                                                                                                  Crear y registrar más nodos

                                                                                                                                                  Para agregar nodos adicionales a su grupo, simplemente cree máquinas virtuales adicionales y monte el mismo archivo ISO de configuración y, a continuación, registre el nodo. Le recomendamos que tenga al menos 3 nodos.

                                                                                                                                                   

                                                                                                                                                  En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts