- Inicio
- /
- Artículo
En este artículoInformación nueva y modificada
Fecha | Cambios realizados | ||
|---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
| 30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
| 20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
| 4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
| 29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
| 20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
| 13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
 | No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
| Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
|---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
|---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
|---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
| Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
|---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.comy unaciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
| 2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
| 3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
| 4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
| 5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
| 6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
| 7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
| 9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
| 10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
| 11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
| 1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
| 2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
| 3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
| 4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
| 5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
| 6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
| 7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
| 4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTEl archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares: En entornos FedRAMP:
| ||||||||||||
| 2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente: | ||||||||||||
| 3 | Cuando se le solicite la contraseña, ingrese este hash: | ||||||||||||
| 4 | Descargue la última imagen estable para su entorno: En entornos regulares: En entornos FedRAMP: | ||||||||||||
| 5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
| 6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
| 8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
| 9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
| 10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
| 11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
| 13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar: | ||||||||||||
| 15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
| 17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
| 18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
| 2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
| 6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
| 8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
| 9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
| 3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
| 5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 | Cargue el archivo ISO desde su computadora: |
| 2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 | Introduzca la URL de configuración del nodo de HDS |
| 2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
| 3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
| 6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Inicie sesión en https://admin.webex.com. |
| 2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
| 4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
| 7 | Haga clic en Ir al nodo. |
| 8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
| 9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
| 2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
| 1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
| 2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
| 3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
| 4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
| 1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
| 4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
| 1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
| 2 | Envíe mensajes al nuevo espacio. | ||
| 3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
| 1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
| 4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Mover a producción. |
| 4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Desactivar, haga clic en Desactivar. |
| 4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
| 1 | Inicie sesión en el Control Hub. |
| 2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
| 3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
| 5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNecesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
| 1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: | ||||||
| 4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
| 1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
| 3 | Vaya a la página Almacén de confianza y proxy. |
| 4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
| 2 | Eliminar el nodo: |
| 3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
| 1 | Apague uno de sus nodos de HDS. |
| 2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
| 3 | Elija y desmarque Archivo ISO del almacén de datos. |
| 4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
|---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
| 1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
| 2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
| 3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
| 1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 | Muestre el certificado como texto y verifique los detalles.
|
| 3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
| 4 | Cree el archivo .p12 con el nombre descriptivo
|
| 5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
| Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol directiva squid.conf:
on_unsupported_protocol tunnel allCalamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformación nueva y modificada
Fecha | Cambios realizados | ||
|---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
| 30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
| 20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
| 4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
| 29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
| 20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
| 13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
| No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
| Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
|---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
|---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
|---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
| Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
|---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.comy unaciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
| 2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
| 3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
| 4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
| 5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
| 6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
| 7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
| 9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
| 10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
| 11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
| 1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
| 2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
| 3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
| 4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
| 5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
| 6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
| 7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
| 4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTEl archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares: En entornos FedRAMP:
| ||||||||||||
| 2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente: | ||||||||||||
| 3 | Cuando se le solicite la contraseña, ingrese este hash: | ||||||||||||
| 4 | Descargue la última imagen estable para su entorno: En entornos regulares: En entornos FedRAMP: | ||||||||||||
| 5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
| 6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
| 8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
| 9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
| 10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
| 11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
| 13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar: | ||||||||||||
| 15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
| 17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
| 18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
| 2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
| 6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
| 8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
| 9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
| 3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
| 5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 | Cargue el archivo ISO desde su computadora: |
| 2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 | Introduzca la URL de configuración del nodo de HDS |
| 2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
| 3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
| 6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Inicie sesión en https://admin.webex.com. |
| 2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
| 4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
| 7 | Haga clic en Ir al nodo. |
| 8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
| 9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
| 2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
| 1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
| 2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
| 3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
| 4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
| 1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
| 4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
| 1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
| 2 | Envíe mensajes al nuevo espacio. | ||
| 3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
| 1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
| 4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Mover a producción. |
| 4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Desactivar, haga clic en Desactivar. |
| 4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
| 1 | Inicie sesión en el Control Hub. |
| 2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
| 3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
| 5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNecesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
| 1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: | ||||||
| 4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
| 1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
| 3 | Vaya a la página Almacén de confianza y proxy. |
| 4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
| 2 | Eliminar el nodo: |
| 3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
| 1 | Apague uno de sus nodos de HDS. |
| 2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
| 3 | Elija y desmarque Archivo ISO del almacén de datos. |
| 4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
|---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
| 1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
| 2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
| 3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
| 1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 | Muestre el certificado como texto y verifique los detalles.
|
| 3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
| 4 | Cree el archivo .p12 con el nombre descriptivo
|
| 5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
| Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol directiva squid.conf:
on_unsupported_protocol tunnel allCalamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformación nueva y modificada
Fecha | Cambios realizados | ||
|---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
| 30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
| 20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
| 4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
| 29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
| 20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
| 13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
| No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
| Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
|---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
|---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
|---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
| Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
|---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.comy unaciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
| 2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
| 3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
| 4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
| 5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
| 6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
| 7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
| 9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
| 10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
| 11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
| 1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
| 2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
| 3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
| 4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
| 5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
| 6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
| 7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
| 4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTEl archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares: En entornos FedRAMP:
| ||||||||||||
| 2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente: | ||||||||||||
| 3 | Cuando se le solicite la contraseña, ingrese este hash: | ||||||||||||
| 4 | Descargue la última imagen estable para su entorno: En entornos regulares: En entornos FedRAMP: | ||||||||||||
| 5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
| 6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
| 8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
| 9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
| 10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
| 11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
| 13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar: | ||||||||||||
| 15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
| 17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
| 18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
| 2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
| 6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
| 8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
| 9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
| 3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
| 5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 | Cargue el archivo ISO desde su computadora: |
| 2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 | Introduzca la URL de configuración del nodo de HDS |
| 2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
| 3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
| 6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Inicie sesión en https://admin.webex.com. |
| 2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
| 4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
| 7 | Haga clic en Ir al nodo. |
| 8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
| 9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
| 2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
| 1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
| 2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
| 3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
| 4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
| 1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
| 4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
| 1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
| 2 | Envíe mensajes al nuevo espacio. | ||
| 3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
| 1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
| 4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Mover a producción. |
| 4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Desactivar, haga clic en Desactivar. |
| 4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
| 1 | Inicie sesión en el Control Hub. |
| 2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
| 3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
| 5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNecesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
| 1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: | ||||||
| 4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
| 1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
| 3 | Vaya a la página Almacén de confianza y proxy. |
| 4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
| 2 | Eliminar el nodo: |
| 3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
| 1 | Apague uno de sus nodos de HDS. |
| 2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
| 3 | Elija y desmarque Archivo ISO del almacén de datos. |
| 4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
|---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
| 1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
| 2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
| 3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
| 1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 | Muestre el certificado como texto y verifique los detalles.
|
| 3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
| 4 | Cree el archivo .p12 con el nombre descriptivo
|
| 5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
| Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol directiva squid.conf:
on_unsupported_protocol tunnel allCalamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformación nueva y modificada
Fecha | Cambios realizados | ||
|---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
| 30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
| 20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
| 4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
| 29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
| 20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
| 13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
| No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
| Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
|---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
|---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
|---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
| Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
|---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.comy unaciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
| 2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
| 3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
| 4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
| 5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
| 6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
| 7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
| 9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
| 10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
| 11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
| 1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
| 2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
| 3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
| 4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
| 5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
| 6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
| 7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
| 4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTEl archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares: En entornos FedRAMP:
| ||||||||||||
| 2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente: | ||||||||||||
| 3 | Cuando se le solicite la contraseña, ingrese este hash: | ||||||||||||
| 4 | Descargue la última imagen estable para su entorno: En entornos regulares: En entornos FedRAMP: | ||||||||||||
| 5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
| 6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
| 8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
| 9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
| 10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
| 11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
| 13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar: | ||||||||||||
| 15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
| 17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
| 18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
| 2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
| 6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
| 8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
| 9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
| 3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
| 5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 | Cargue el archivo ISO desde su computadora: |
| 2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 | Introduzca la URL de configuración del nodo de HDS |
| 2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
| 3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
| 6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Inicie sesión en https://admin.webex.com. |
| 2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
| 4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
| 7 | Haga clic en Ir al nodo. |
| 8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
| 9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
| 2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
| 1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
| 2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
| 3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
| 4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
| 1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
| 4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
| 1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
| 2 | Envíe mensajes al nuevo espacio. | ||
| 3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
| 1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
| 4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Mover a producción. |
| 4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Desactivar, haga clic en Desactivar. |
| 4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
| 1 | Inicie sesión en el Control Hub. |
| 2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
| 3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
| 5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNecesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
| 1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: | ||||||
| 4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
| 1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
| 3 | Vaya a la página Almacén de confianza y proxy. |
| 4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
| 2 | Eliminar el nodo: |
| 3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
| 1 | Apague uno de sus nodos de HDS. |
| 2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
| 3 | Elija y desmarque Archivo ISO del almacén de datos. |
| 4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
|---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
| 1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
| 2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
| 3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
| 1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 | Muestre el certificado como texto y verifique los detalles.
|
| 3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
| 4 | Cree el archivo .p12 con el nombre descriptivo
|
| 5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
| Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol directiva squid.conf:
on_unsupported_protocol tunnel allCalamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformación nueva y modificada
Fecha | Cambios realizados | ||
|---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
| 30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
| 20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
| 4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
| 29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
| 20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
| 13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de un extremo a otro, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
| No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
| Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para la gestión de certificados y para comprobar el estado general de la conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, " Docker está actualizando y ampliando nuestras suscripciones de productos ".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
|---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
|---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
|---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
| Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
|---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de los sockets web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.comy unaciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
| 2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
| 3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
| 4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
| 5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
| 6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
| 7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
| 9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
| 10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
| 11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
| 1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
| 2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
| 3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
| 4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
| 5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
| 6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
| 7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
| 4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTEl archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 | En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno: En entornos regulares: En entornos FedRAMP:
| ||||||||||||
| 2 | Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente: | ||||||||||||
| 3 | Cuando se le solicite la contraseña, ingrese este hash: | ||||||||||||
| 4 | Descargue la última imagen estable para su entorno: En entornos regulares: En entornos FedRAMP: | ||||||||||||
| 5 | Cuando se complete la extracción, ingrese el comando apropiado para su entorno:
Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080". | ||||||||||||
| 6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
| 8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
| 9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
| 10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
| 11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
| 13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar: | ||||||||||||
| 15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
| 17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
| 18 | Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
| 2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
| 6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
| 8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
| 9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
| 3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
| 5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 | Cargue el archivo ISO desde su computadora: |
| 2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 | Introduzca la URL de configuración del nodo de HDS |
| 2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
| 3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
| 6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Inicie sesión en https://admin.webex.com. |
| 2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
| 4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
| 7 | Haga clic en Ir al nodo. |
| 8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
| 9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
| 2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
| 1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
| 2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
| 3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
| 4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
| 1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
| 4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
| 1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
| 2 | Envíe mensajes al nuevo espacio. | ||
| 3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
| 1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
| 4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar . |
Pasar de la prueba a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Mover a producción. |
| 4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Desactivar, haga clic en Desactivar. |
| 4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
| 1 | Inicie sesión en el Control Hub. |
| 2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
| 3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
| 5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a caducidad u otras razones.
No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla proporciona algunas posibles variables de entorno:
Descripción
Variable
HTTP Proxy sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTHTTP Proxy con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNecesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.
| 1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 | Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 | Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente: | ||||||
| 4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
| 1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitado, Resolución de DNS externa bloqueada está configurado en Si . |
| 3 | Vaya a la página Almacén de confianza y proxy. |
| 4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
| 2 | Eliminar el nodo: |
| 3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
| 1 | Apague uno de sus nodos de HDS. |
| 2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
| 3 | Elija y desmarque Archivo ISO del almacén de datos. |
| 4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
|---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
| 1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
| 2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
| 3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente, no tenemos una solución ni solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
| 1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 | Muestre el certificado como texto y verifique los detalles.
|
| 3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
| 4 | Cree el archivo .p12 con el nombre descriptivo
|
| 5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
| Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol directiva squid.conf:
on_unsupported_protocol tunnel allCalamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformación nueva y modificada
Fecha | Cambios realizados | ||
|---|---|---|---|
20 de octubre de 2023 |
| ||
07 de agosto de 2023 |
| ||
23 de mayo de 2023 |
| ||
06 de diciembre de 2022 |
| ||
23 de noviembre de 2022 |
| ||
13 de octubre de 2021 | Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de escritorio de Docker. | ||
24 de junio de 2021 | Se observó que puede volver a utilizar el archivo de clave privada y el CSR para solicitar otro certificado. Para obtener más información, consulte Usar OpenSSL para generar un archivo PKCS12. | ||
| 30 de abril de 2021 | Se cambió el requisito de la máquina virtual para el espacio del disco duro local a 30 GB. Consulte Requisitos del host virtual para obtener más información. | ||
24 de febrero de 2021 | La herramienta de configuración de HDS ahora puede ejecutarse detrás de un proxy. Consulte Crear una ISO de configuración para los hosts HDS para obtener más información. | ||
2 de febrero de 2021 | HDS ahora puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles. | ||
11 de enero de 2021 | Se agregó información sobre la herramienta de configuración de HDS y los proxies para Crear una ISO de configuración para los hosts de HDS. | ||
13 de octubre de 2020 | Actualización de Descargar archivos de instalación. | ||
8 de octubre de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) y la versión Change the Node Configuration (Cambiar la configuración de nodos) con comandos para entornos FedRAMP. | ||
viernes, 14 de agosto de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) y la versión Change the Node Configuration (Cambiar la configuración del nodo) con cambios en el proceso de inicio de sesión. | ||
5 de agosto de 2020 | Actualización de la versión Probar el despliegue de seguridad de datos híbridos para detectar cambios en los mensajes de registro. Se actualizaron los Requisitos de host virtual para eliminar la cantidad máxima de hosts. | ||
16 de junio de 2020 | Se actualizó la opción Eliminar un nodo para ver los cambios en la interfaz de usuario de Control Hub. | ||
4 de junio de 2020 | Se actualizó la opción Crear una ISO de configuración para los hosts HDS para ver los cambios en la configuración avanzada que pueda establecer. | ||
29 de mayo de 2020 | Se actualizó la versión Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS) para mostrar que también puede usar TLS con bases de datos de SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
5 de mayo de 2020 | Se actualizaron los requisitos de host virtual para mostrar los nuevos requisitos de ESXi 6.5. | ||
21 de abril de 2020 | Actualización de los Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
1 de abril de 2020 | Actualización de los Requisitos de conectividad externa con información sobre hosts de CI regionales. | ||
| 20 de febrero de 2020 | Se actualizó la opción Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts de HDS) con información sobre la nueva pantalla opcional Advanced Settings (Configuración avanzada) en la herramienta de configuración de HDS. | ||
| 4 de febrero de 2020 | Actualización de los requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Se ha aclarado el requisito para que el modo de resolución de DNS externo bloqueado funcione en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019 | Se agregó información sobre el modo de resolución de DNS externo bloqueado en las siguientes secciones: | ||
8 de noviembre de 2019 | Ahora puede configurar los ajustes de red para un nodo mientras implementa el OVA en lugar de hacerlo después. Se han actualizado las siguientes secciones en consecuencia:
| ||
6 de septiembre de 2019 | Se ha agregado SQL Server Standard a Database server requirements (Requisitos del servidor de base de datos). | ||
| 29 de agosto de 2019. | Se agregó el apéndice Configurar proxies squid para la seguridad de datos híbridos con instrucciones sobre la configuración de proxies squid para ignorar el tráfico de websocket para un funcionamiento correcto. | ||
| 20 de agosto de 2019 | Se agregaron y actualizaron secciones para cubrir el soporte de proxy para las comunicaciones de nodos de seguridad de datos híbridos a la nube de Webex. Para acceder solo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda de Soporte de proxy para la seguridad de datos híbridos y la red de vídeo de Webex. | ||
| 13 de junio de 2019 | Actualización del Flujo de tareas de prueba a producción con un recordatorio para sincronizar el HdsTrialGroup objeto de grupo antes de iniciar una prueba si su organización utiliza sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 | Se cambió la terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
2 de noviembre de 2017 |
| ||
viernes, 18 de agosto de 2017 | Primera publicación |
Descripción general de la seguridad de datos híbridos
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De manera predeterminada, todos los clientes de la aplicación de Webex obtienen un cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS en la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del dominio de seguridad
La arquitectura en la nube de Webex separa diferentes tipos de servicio en dominios o dominios de confianza independientes, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero analicemos este caso puro en la nube, en el que Cisco ofrece todas las funciones en sus reinos en la nube. El servicio de identidad, el único lugar donde se puede correlacionar directamente a los usuarios con su información personal, como la dirección de correo electrónico, está separado lógica y físicamente del ámbito de seguridad del centro de datos B. Ambos están a su vez separados del ámbito donde se almacena finalmente el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación de Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario compone un mensaje para enviarlo a un espacio, se llevan a cabo los siguientes pasos:
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave con una clave maestra AES-256.
El mensaje se cifra antes de que salga del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para ayudar en futuras búsquedas del contenido.
El mensaje cifrado se envía al servicio de cumplimiento para las comprobaciones de cumplimiento.
El mensaje cifrado se almacena en el reino de almacenamiento.
Cuando implementa la seguridad de datos híbridos, traslada las funciones del dominio de seguridad (KMS, indexación y cumplimiento normativo) a su centro de datos local. Los otros servicios en la nube que conforman Webex (incluido el almacenamiento de identidad y contenido) permanecen en los reinos de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creada por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS redirige la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y, luego, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en Org A valida las conexiones a KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener más información sobre la generación de un certificado x.509 para utilizarlo con su implementación de seguridad de datos híbridos.
Expectativas para el despliegue de seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso importante del cliente y un conocimiento de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar:
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
Los equipos, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida completa de la ISO de configuración que crea para la seguridad de datos híbridos o de la base de datos que proporciona dará lugar a la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la Aplicación de Webex. Si esto sucede, puede crear una nueva implementación, pero solo será visible el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe:
Gestionar la copia de seguridad y recuperación de la base de datos y la configuración ISO.
Esté preparado para realizar una rápida recuperación de desastres si se produce una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
| No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbridos:
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización para que utilice su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, prueba y producción se tratan en detalle en los tres capítulos siguientes.
Mantenga su implementación de seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y contratar el soporte de Cisco según sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas basadas en correo electrónico en Control Hub.
Conozca las alertas comunes, los pasos para la resolución de problemas y los problemas conocidos: si tiene problemas para desplegar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo de implementación de seguridad de datos híbridos
Dentro de su centro de datos empresarial, puede implementar la seguridad de datos híbridos como un solo grupo de nodos en hosts virtuales independientes. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que proporciona. Utilice la herramienta de configuración de HDS para crear un archivo ISO de configuración de clúster personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es de dos. Recomendamos al menos tres, y puede tener hasta cinco. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos clave y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y manejan solicitudes clave en forma de "round robin", como lo indica la nube.
Los nodos se activan cuando los inscribe en Control Hub. Para sacar un nodo individual del servicio, puede desinscribirlo y volver a inscribirlo si es necesario.
Solo admitimos un solo grupo por organización.
Modo de prueba de seguridad de datos híbridos
Después de configurar una implementación de seguridad de datos híbridos, primero puede probarla con un conjunto de usuarios piloto. Durante el período de prueba, estos usuarios utilizan su dominio de seguridad de datos híbridos local para obtener claves de cifrado y otros servicios de dominio de seguridad. El resto de sus usuarios siguen utilizando el dominio de seguridad en la nube.
Si decide no continuar con la implementación durante la prueba y desactivar el servicio, los usuarios piloto y cualquier usuario con el que haya interactuado creando nuevos espacios durante el período de prueba perderán el acceso a los mensajes y el contenido. Verán “Este mensaje no se puede descifrar” en la aplicación Webex.
Si está satisfecho de que su implementación está funcionando bien para los usuarios de prueba y está listo para extender la seguridad de datos híbridos a todos sus usuarios, traslade la implementación a producción. Los usuarios de la prueba siguen teniendo acceso a las claves que se utilizaron durante la prueba. Sin embargo, no puede moverse entre el modo de producción y la prueba original. Si debe desactivar el servicio, por ejemplo, para realizar la recuperación de desastres, al reactivarlo debe iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. Si los usuarios conservan el acceso a los datos en este punto depende de si ha mantenido con éxito las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de seguridad de datos híbridos de su grupo.
Centro de datos en espera para la recuperación de desastres
Durante la implementación, configuró un centro de datos de espera seguro. En caso de que se produzca un desastre en el centro de datos, puede transferir manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y pasivos están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos estén registrados en la organización, pero no manejarán el tráfico. Por lo tanto, los nodos del centro de datos en espera siempre están actualizados con la última versión del software HDS.
| Los nodos de seguridad de datos híbridos activos deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar el centro de datos en espera para la recuperación de desastres
Siga los pasos a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de comenzar
El centro de datos en espera debe reflejar el entorno de producción de las máquinas virtuales y una base de datos de PostgreSQL o Microsoft SQL Server de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. (Consulte Centro de datos en espera para la recuperación de desastres para obtener una descripción general de este modelo de conmutación por error).
Asegúrese de que la sincronización de la base de datos esté habilitada entre la base de datos de nodos de clúster activos y pasivos.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS.
| ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la siguiente configuración para colocar el nodo en modo pasivo. En este modo, el nodo se registrará en la organización y se conectará a la nube, pero no gestionará ningún tráfico.
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin passiveMode y guárdela en un lugar seguro. Esta copia del archivo ISO sin passiveMode configurada puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Recuperación de desastres mediante el centro de datos en espera para ver el procedimiento detallado de conmutación por error.
Soporte de proxy
La seguridad de datos híbridos admite proxies explícitos, transparentes y sin inspección. Puede vincular estos proxies a su implementación para que pueda proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de plataforma en los nodos para la administración de certificados y para comprobar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
Sin proxy: el valor predeterminado si no utiliza la configuración de proxy y almacén de confianza de configuración de nodos de HDS para integrar un proxy. No se requiere ninguna actualización del certificado.
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No se requiere ninguna actualización del certificado.
Proxy de inspección o tunelización transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No es necesario realizar cambios de configuración HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan un certificado raíz para que confíen en el proxy. El departamento de TI suele utilizar los proxies de inspección para aplicar directivas sobre qué sitios web pueden visitarse y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo su tráfico (incluso HTTPS).
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un proxy explícito, debe introducir la siguiente información en cada nodo:
IP/FQDN de proxy: dirección que se puede utilizar para comunicarse con el equipo proxy.
Puerto de proxy: un número de puerto que utiliza el proxy para escuchar el tráfico de proxy.
Protocolo proxy: en función de lo que admita el servidor proxy, elija entre los siguientes protocolos:
HTTP: visualiza y controla todas las solicitudes que envía el cliente.
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
Ninguno: no se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Básico: se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviar por la red.
Disponible solo si selecciona HTTPS como protocolo proxy.
Requiere que ingrese el nombre de usuario y la contraseña en cada nodo.
Ejemplo de nodos de seguridad de datos híbridos y proxy
Este diagrama muestra un ejemplo de conexión entre la seguridad de datos híbridos, la red y un proxy. Para las opciones de proxy de inspección transparente e inspección explícita HTTPS, se debe instalar el mismo certificado raíz en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de proxy explícito)
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externa para clientes internos, si el nodo no puede consultar los servidores DNS, pasa automáticamente al modo de resolución de DNS externa bloqueada. En este modo, el registro de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de datos híbridos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos:
Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de escritorio de Docker
Antes de instalar los nodos de HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Es posible que su organización requiera una suscripción paga para Docker Desktop. Para obtener más información, consulte la publicación del blog de Docker, "Docker está actualizando y ampliando nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir los siguientes requisitos:
Requisito | Detalles |
|---|---|
| De forma predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
| No es necesario que se pueda acceder al CN ni que sea un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo: El nombre común no debe contener un * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica usando el dominio CN, no cualquier dominio definido en los campos x.509v3 SAN. Una vez que haya inscrito un nodo con este certificado, no admitimos el cambio del nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a las implementaciones de prueba como a las de producción. |
| El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
| Puede utilizar un convertidor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute la herramienta de configuración de HDS. |
El software KMS no impone el uso de claves ni limitaciones ampliadas de uso de claves. Algunas autoridades de certificación requieren que se apliquen restricciones de uso de claves extendidas a cada certificado, como la autenticación de servidor. Está bien utilizar la autenticación del servidor u otros ajustes.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
Mínimo de 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, una vez instaladas, crean el esquema de base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
PostgreSQL | Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) | Mínimo de 8 vCPU, memoria principal de 16 GB, espacio suficiente en el disco duro y supervisión para garantizar que no se supere (se recomienda 2-TB si desea ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento) |
El software HDS instala actualmente las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
PostgreSQL | Microsoft SQL Server |
|---|---|
Controlador JDBC de Postgres 42.2.5 | Controlador JDBC de SQL Server 4.6 Esta versión de controlador admite SQL Server Always On (Instancias de clúster de conmutación por error siempre activada y Grupos de disponibilidad siempre activada). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos de HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesita la siguiente configuración en su entorno:
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
Los servidores DNS que proporcione a los nodos de HDS deben poder resolver su centro de distribución de claves (KDC).
Puede registrar la instancia de la base de datos de HDS en su Microsoft SQL Server como nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para Kerberos Connections.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación de Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
Aplicación | Protocolo | Puerto | Dirección desde la aplicación | Destino |
|---|---|---|---|---|
Nodos de seguridad de datos híbridos | TCP | 443 | HTTPS y WSS salientes |
|
Herramienta de configuración de HDS | TCP | 443 | HTTPS saliente |
|
| Los nodos de Hybrid Data Security funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que la NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber ningún puerto visible desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos. |
Las URL de los hosts de Common Identity (CI) son específicas de la región. Estos son los hosts actuales de CI:
Región | URL de host de identidad común |
|---|---|
América |
|
Unión Europea |
|
Canadá |
|
Requisitos del servidor proxy
Admitimos oficialmente las siguientes soluciones proxy que pueden integrarse con sus nodos de seguridad de datos híbridos.
Proxy transparente: Cisco Web Security Appliance (WSA).
Proxy explícito: squid.
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket (wss:) conexiones. Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
Sin autenticación con HTTP o HTTPS
Autenticación básica con HTTP o HTTPS
Digerir la autenticación solo con HTTPS
Para un proxy de inspección transparente o un proxy explícito HTTPS, debe tener una copia del certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia en los almacenes de confianza de los nodos de seguridad de datos híbridos.
La red que aloja los nodos HDS debe estar configurada para obligar al tráfico TCP saliente en el puerto 443 a enrutarse a través del proxy.
Los proxies que inspeccionan el tráfico web pueden interferir con las conexiones de socket web. Si se produce este problema, omitir (no inspeccionar) el tráfico para
wbx2.comy unaciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 | Asegúrese de que su organización de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub y obtenga las credenciales de una cuenta con derechos de administrador completo de la organización. Comuníquese con su administrador de cuentas o socio de Cisco para obtener ayuda con este proceso. | ||
| 2 | Elija un nombre de dominio para su implementación de HDS (por ejemplo: | ||
| 3 | Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. | ||
| 4 | Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. | ||
| 5 | Para una rápida recuperación ante desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debería tener 3 máquinas virtuales. | ||
| 6 | Configure un host syslog para recopilar registros de los nodos del grupo. Reúna su dirección de red y su puerto syslog (el valor predeterminado es UDP 514). | ||
| 7 | Cree una directiva de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida de datos irrecuperable, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos.
Los clientes de la aplicación Webex guardan en caché sus claves, por lo que es posible que una interrupción no se note inmediatamente, pero se haga evidente con el tiempo. Si bien las interrupciones temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida completa (no hay copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración dará lugar a datos de clientes irrecuperables. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 | Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos, como se indica en Requisitos de conectividad externa. | ||
| 9 | Instale Docker (https://www.docker.com) en cualquier equipo local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Requisitos de escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, el equipo local debe tener la conectividad descrita en Requisitos de conectividad externa. | ||
| 10 | Si está integrando un proxy con Seguridad de datos híbridos, asegúrese de que cumple los requisitos del servidor proxy. | ||
| 11 | Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Información nueva y modificada
|
Fecha |
Cambios realizados | ||
|---|---|---|---|
|
20 de octubre de 2023 |
| ||
|
07 de agosto de 2023 |
| ||
|
23 de mayo de 2023 |
| ||
|
06 de diciembre de 2022 |
| ||
|
23 de noviembre de 2022 |
| ||
|
13 de octubre de 2021 |
Docker Desktop necesita ejecutar un programa de instalación antes de poder instalar nodos HDS. Consulte Requisitos de Docker Desktop. | ||
|
24 de junio de 2021 |
Tenga en cuenta que puede reutilizar el archivo de clave privada y la CSR para solicitar otro certificado. Consulte Use OpenSSL to Generate a PKCS12 File para obtener más detalles. | ||
| 30 de abril de 2021 |
Se ha cambiado el requisito de espacio en disco duro local de la máquina virtual a 30 GB. Consulte Requisitos del host virtual para obtener más detalles. | ||
|
24 de febrero de 2021 |
HDS Setup Tool ahora puede ejecutarse detrás de un proxy. Consulte Create a Configuration ISO for the HDS Hosts para obtener más detalles. | ||
|
2 de febrero de 2021 |
Ahora HDS puede ejecutarse sin un archivo ISO montado. Consulte (Opcional) Unmount ISO After HDS Configuration para obtener más detalles. | ||
|
11 de enero de 2021 |
Se ha añadido información sobre la herramienta HDS Setup y los proxies a Crear una ISO de configuración para los hosts HDS. | ||
|
13 de octubre de 2020 |
Actualizado Descargar archivos de instalación. | ||
|
8 de octubre de 2020 |
Actualizado Crear una ISO de Configuración para los Hosts HDS y Cambiar la Configuración del Nodo con comandos para entornos FedRAMP. | ||
|
viernes, 14 de agosto de 2020 |
Actualizado Crear una ISO de configuración para los hosts HDS y Cambiar la configuración del nodo con cambios en el proceso de inicio de sesión. | ||
|
5 de agosto de 2020 |
Actualizado Pruebe su despliegue de seguridad de datos híbridos para los cambios en los mensajes de registro. Actualizado Virtual Host Requirements para eliminar el número máximo de hosts. | ||
|
16 de junio de 2020 |
Actualizado Eliminar un nodo para los cambios en la interfaz de usuario de Control Hub. | ||
|
4 de junio de 2020 |
Actualizado Create a Configuration ISO for the HDS Hosts para los cambios en la Configuración Avanzada que pueda establecer. | ||
|
29 de mayo de 2020 |
Actualizado Create a Configuration ISO for the HDS Hosts para mostrar que también se puede utilizar TLS con bases de datos SQL Server, cambios en la interfaz de usuario y otras aclaraciones. | ||
|
5 de mayo de 2020 |
Actualizado Virtual Host Requirements para mostrar los nuevos requisitos de ESXi 6.5. | ||
|
21 de abril de 2020 |
Actualizado Requisitos de conectividad externa con los nuevos hosts de Americas CI. | ||
|
1 de abril de 2020 |
Actualizado Requisitos de conectividad externa con información sobre hosts CI regionales. | ||
| 20 de febrero de 2020 | Actualizado Create a Configuration ISO for the HDS Hosts con información sobre la nueva pantalla opcional Advanced Settings de HDS Setup Tool. | ||
| 4 de febrero de 2020 | Actualizado Requisitos del servidor proxy. | ||
| 16 de diciembre de 2019 | Aclarado el requisito para que funcione el modo de resolución de DNS externo bloqueado en Requisitos del servidor proxy. | ||
| 19 de noviembre de 2019. |
Se ha añadido información sobre el modo de resolución DNS externo bloqueado en las siguientes secciones: | ||
|
8 de noviembre de 2019. |
Ahora puede configurar los ajustes de red de un nodo mientras despliega el OVA en lugar de hacerlo después. Se han actualizado en consecuencia las secciones siguientes:
| ||
|
6 de septiembre de 2019. |
Añadido SQL Server Standard a Requisitos del servidor de base de datos. | ||
| 29 de agosto de 2019. | Añadido Configure Squid Proxies for Hybrid Data Security appendix with guidance on configuring Squid proxies to ignore websocket traffic for proper operation. | ||
| 20 de agosto de 2019. |
Se han añadido y actualizado secciones para cubrir la compatibilidad del proxy con las comunicaciones del nodo de seguridad de datos híbridos con la nube Webex. Para acceder sólo al contenido de soporte de proxy para una implementación existente, consulte el artículo de ayuda Proxy Support for Hybrid Data Security and Webex Video Mesh . | ||
| 13 de junio de 2019 | Actualizado Flujo de tareas de prueba a producción con un recordatorio para sincronizar el objeto de grupo HdsTrialGroup antes de iniciar una prueba si su organización utiliza la sincronización de directorios. | ||
| 6 de marzo de 2019 |
| ||
| 28 de febrero de 2019. |
| ||
| 26 de febrero de 2019 |
| ||
|
24 de enero de 2019. |
| ||
| 5 de noviembre de 2018 |
| ||
| 19 de octubre de 2018 |
| ||
|
31 de julio de 2018 |
| ||
| 21 de mayo de 2018 |
Cambio de terminología para reflejar el cambio de marca de Cisco Spark:
| ||
| 11 de abril de 2018 |
| ||
| 22 de febrero de 2018 |
| ||
| 15 de febrero de 2018 |
| ||
| 18 de enero de 2018 |
| ||
|
2 de noviembre de 2017 |
| ||
|
viernes, 18 de agosto de 2017 |
Primera publicación |
Visión general de la seguridad de los datos híbridos
Desde el primer día, la seguridad de los datos ha sido el objetivo principal en el diseño de Webex App. La piedra angular de esta seguridad es el cifrado de contenidos de extremo a extremo, habilitado por los clientes de Webex App que interactúan con el servicio de gestión de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
Por defecto, todos los clientes de Webex App obtienen cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Arquitectura del ámbito de seguridad
La arquitectura de la nube de Webex separa los distintos tipos de servicio en reinos independientes, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad híbrida de los datos, veamos primero este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como la dirección de correo electrónico, está lógica y físicamente separado del ámbito de seguridad en el centro de datos B. Ambos están a su vez separados del ámbito donde se almacenan en última instancia los contenidos cifrados, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en el portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviarlo a un espacio, se producen los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de gestión de claves (KMS) y, a continuación, solicita una clave para cifrar el mensaje. La conexión segura utiliza ECDH, y el KMS cifra la clave utilizando una clave maestra AES-256.
-
El mensaje se encripta antes de salir del cliente. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para facilitar futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de verificación de la conformidad para que lo compruebe.
-
El mensaje cifrado se almacena en el ámbito de almacenamiento.
Cuando implanta Hybrid Data Security, traslada las funciones del ámbito de la seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los demás servicios en la nube que componen Webex (incluidos los de identidad y almacenamiento de contenidos) permanecen en el ámbito de Cisco.
Colaboración con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente Webex App para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio que es propiedad de su organización (porque fue creado por uno de sus usuarios), su KMS envía la clave al cliente a través de un canal seguro ECDH. Sin embargo, cuando otra organización posee la clave para el espacio, su KMS enruta la solicitud a la nube Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado, y luego devuelve la clave a su usuario en el canal original.
El servicio KMS que se ejecuta en Org A valida las conexiones con los KMS de otras organizaciones utilizando certificados x.509 PKI. Consulte Prepare su entorno para obtener información detallada sobre la generación de un certificado x.509 para utilizarlo con la implantación de Hybrid Data Security.
Expectativas de implantación de la seguridad híbrida de los datos
Una implantación de seguridad de datos híbrida requiere un compromiso significativo por parte del cliente y ser consciente de los riesgos que conlleva poseer claves de cifrado.
Para implantar Hybrid Data Security, debe proporcionar:
-
Un centro de datos seguro en un país que sea una ubicación compatible con para los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida total de la ISO de configuración que construya para Hybrid Data Security o de la base de datos que proporcione provocará la pérdida de las claves. La pérdida de claves impide a los usuarios descifrar el contenido del espacio y otros datos cifrados en Webex App. Si esto ocurre, puede crear una nueva implantación, pero sólo será visible el nuevo contenido. Para evitar la pérdida de acceso a los datos, debes:
-
Gestionar la copia de seguridad y recuperación de la base de datos y la ISO de configuración.
-
Esté preparado para llevar a cabo una rápida recuperación en caso de catástrofe, como un fallo en el disco de la base de datos o un desastre en el centro de datos.
| No existe ningún mecanismo para volver a mover las claves a la nube después de una implementación de HDS. |
Proceso de configuración de alto nivel
Este documento cubre la configuración y gestión de un despliegue de Seguridad de Datos Híbrida:
Configurar Hybrid Data Security- Esto incluye preparar la infraestructura necesaria e instalar el software Hybrid Data Security, probar su despliegue con un subconjunto de usuarios en modo de prueba y, una vez finalizadas las pruebas, pasar a producción. Esto convierte a toda la organización en usuaria de su clúster Hybrid Data Security para las funciones de seguridad.
Las fases de instalación, prueba y producción se tratan con detalle en los tres capítulos siguientes.
-
Mantenga su implantación de seguridad de datos híbrida-La nube Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar asistencia de primer nivel para esta implantación y contratar asistencia de Cisco en caso necesario. Puedes utilizar notificaciones en pantalla y configurar alertas por correo electrónico en Control Hub.
-
Comprenda las alertas comunes, los pasos para solucionar problemas y los problemas conocidos-Si tiene problemas al implementar o utilizar Hybrid Data Security, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarle a determinar y solucionar el problema.
Modelo híbrido de implantación de la seguridad de los datos
En el centro de datos de su empresa, despliegue Hybrid Data Security como un único clúster de nodos en hosts virtuales independientes. Los nodos se comunican con la nube Webex a través de websockets seguros y HTTP seguro.
Durante el proceso de instalación, le proporcionamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que nos proporcione. Utilice HDS Setup Tool para crear un archivo ISO de configuración de clúster personalizado que montará en cada nodo. El clúster híbrido de seguridad de datos utiliza el servidor Syslogd y la base de datos PostgreSQL o Microsoft SQL Server proporcionados. (Los detalles de la conexión a Syslogd y a la base de datos se configuran en la Herramienta de configuración de HDS).
El número mínimo de nodos que puede tener un clúster es dos. Recomendamos al menos tres, y puedes tener hasta cinco. Disponer de varios nodos garantiza que el servicio no se interrumpa durante una actualización de software u otra actividad de mantenimiento en un nodo. (La nube Webex sólo actualiza un nodo cada vez).
Todos los nodos de un clúster acceden al mismo almacén de datos de claves y registran la actividad en el mismo servidor syslog. Los propios nodos son apátridas y gestionan las solicitudes de claves de forma rotatoria, según las instrucciones de la nube.
Los nodos se activan cuando los registras en Control Hub. Para dejar un nodo fuera de servicio, puede darlo de baja y volver a darlo de alta más tarde si es necesario.
Sólo admitimos un único clúster por organización.
Modo de prueba de la seguridad de datos híbrida
Después de configurar un despliegue de Seguridad de Datos Híbrida, primero se prueba con un conjunto de usuarios piloto. Durante el periodo de prueba, estos usuarios utilizan su dominio local de Hybrid Data Security para las claves de cifrado y otros servicios del ámbito de la seguridad. Los demás usuarios siguen utilizando el ámbito de seguridad de la nube.
Si decides no continuar con la implantación durante el periodo de prueba y desactivas el servicio, los usuarios piloto y cualquier usuario con el que hayan interactuado creando nuevos espacios durante el periodo de prueba perderán el acceso a los mensajes y contenidos. Verán "Este mensaje no puede descifrarse" en la aplicación Webex.
Si está convencido de que la implantación funciona correctamente para los usuarios de prueba y está preparado para ampliar Hybrid Data Security a todos sus usuarios, pase la implantación a producción. Los usuarios piloto siguen teniendo acceso a las claves que estaban en uso durante la prueba. Sin embargo, no puede pasar del modo de producción al modo de prueba original. Si debe desactivar el servicio, por ejemplo para realizar una recuperación de desastres, cuando lo reactive deberá iniciar una nueva prueba y configurar el conjunto de usuarios piloto para la nueva prueba antes de volver al modo de producción. El hecho de que los usuarios conserven el acceso a los datos en este punto depende de si ha mantenido correctamente las copias de seguridad del almacén de datos clave y del archivo de configuración ISO para los nodos de Hybrid Data Security de su clúster.
Centro de datos de reserva para recuperación en caso de catástrofe
Durante la implantación, se configura un centro de datos de reserva seguro. En caso de desastre en un centro de datos, puede conmutar manualmente la implantación al centro de datos de reserva.
Las bases de datos de los centros de datos activo y en espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error. El archivo ISO del centro de datos en espera se actualiza con configuraciones adicionales que garantizan que los nodos están registrados en la organización, pero no gestionarán el tráfico. De este modo, los nodos del centro de datos de reserva permanecen siempre actualizados con la última versión del software HDS.
| Los nodos activos de Hybrid Data Security deben estar siempre en el mismo centro de datos que el servidor de base de datos activo. |
Configurar un centro de datos de reserva para la recuperación en caso de catástrofe
Siga los pasos que se indican a continuación para configurar el archivo ISO del centro de datos en espera:
Antes de empezar
-
El centro de datos de reserva debe reflejar el entorno de producción de máquinas virtuales y una copia de seguridad de la base de datos PostgreSQL o Microsoft SQL Server. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debe tener 3 máquinas virtuales. (Véase Standby Data Center for Disaster Recovery para una visión general de este modelo de conmutación por error).
-
Asegúrese de que la sincronización de bases de datos está activada entre la base de datos de los nodos de clúster activos y pasivos.
| 1 |
Inicie la herramienta HDS Setup y siga los pasos mencionados en Create a Configuration ISO for the HDS Hosts.
| ||
| 2 |
Después de configurar el servidor Syslogd, haga clic en Advanced Settings | ||
| 3 |
En la página Advanced Settings , añada la siguiente configuración para poner el nodo en modo pasivo. En este modo, el nodo estará registrado en la organización y conectado a la nube, pero no gestionará ningún tráfico.
| ||
| 4 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. | ||
| 5 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantén segura la copia de seguridad. Este archivo contiene una clave de encriptación maestra para el contenido de la base de datos. Restrinja el acceso sólo a aquellos administradores de Hybrid Data Security que deban realizar cambios en la configuración. | ||
| 6 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic con el botón derecho en la VM y haga clic en Edit Settings.. | ||
| 7 |
Haga clic en Edit Settings >CD/DVD Drive 1 y seleccione Datastore ISO File.
| ||
| 8 |
Encienda el nodo HDS y asegúrese de que no hay alarmas durante al menos 15 minutos. | ||
| 9 |
Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
Después de configurar passiveMode en el archivo ISO y guardarlo, puede crear otra copia del archivo ISO sin la configuración passiveMode y guardarla en una ubicación segura. Esta copia del archivo ISO sin passiveMode configurado puede ayudar en un rápido proceso de conmutación por error durante la recuperación de desastres. Consulte Disaster Recovery using Standby Data Center para conocer el procedimiento detallado de conmutación por error.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy-El valor predeterminado si no se utiliza la configuración Trust Store & Proxy del nodo HDS para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente no inspector-Los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deberían requerir ningún cambio para funcionar con un proxy no inspector. No es necesaria la actualización del certificado.
-
Túnel transparente o proxy de inspección-Los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito-Con el proxy explícito, se indica a los nodos HDS qué servidor proxy y esquema de autenticación utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
Proxy IP/FQDN-Dirección que puede utilizarse para acceder a la máquina proxy.
-
Puerto proxy-Número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo Proxy-En función de lo que admita su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación-Elija entre los siguientes tipos de autenticación:
-
Ninguno- No se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Basic-Se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Digest-Se utiliza para confirmar la cuenta antes de enviar información sensible. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Requisitos para la seguridad de los datos híbridos
Requisitos de licencia de Cisco Webex
Para desplegar Hybrid Data Security:
-
Debe tener Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de Docker Desktop
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker ha actualizado recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos de los certificados X.509
La cadena de certificados debe cumplir los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
Por defecto, confiamos en las CA de la lista de Mozilla (a excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
No es necesario que la CN sea accesible o un host activo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo, El CN no debe contener un * (comodín). El CN se utiliza para verificar los nodos de Hybrid Data Security a los clientes de Webex App. Todos los nodos de Hybrid Data Security de su clúster utilizan el mismo certificado. Su KMS se identifica utilizando el dominio CN, no cualquier dominio que esté definido en los campos SAN x.509v3. Una vez registrado un nodo con este certificado, no es posible cambiar el nombre de dominio CN. Elija un dominio que pueda aplicarse tanto a la implantación de prueba como a la de producción. |
|
El software KMS no admite firmas SHA1 para validar conexiones a KMS de otras organizaciones. |
|
Puede utilizar un conversor como OpenSSL para cambiar el formato de su certificado. Deberá introducir la contraseña cuando ejecute HDS Setup Tool. |
El software KMS no impone restricciones de uso de claves ni de uso de claves ampliadas. Algunas autoridades de certificación exigen que se apliquen restricciones de uso de claves ampliadas a cada certificado, como la autenticación del servidor. Está bien utilizar la autenticación del servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de Hybrid Data Security en su clúster tienen los siguientes requisitos:
-
Al menos dos hosts independientes (se recomiendan 3) ubicados en el mismo centro de datos seguro.
-
VMware ESXi 6.5 (o posterior) instalado y en funcionamiento.
Debe actualizar si tiene una versión anterior de ESXi.
-
Mínimo 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
| Crear una nueva base de datos para el almacenamiento de claves. No utilices la base de datos por defecto. Las aplicaciones HDS, una vez instaladas, crean el esquema de la base de datos. |
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno de ellos son los siguientes:
|
PostgreSQL |
Microsoft SQL Server | ||
|---|---|---|---|
|
| ||
|
Mínimo 8 vCPUs, 16-GB de memoria principal, suficiente espacio en disco duro y monitorización para asegurar que no se excede (2-TB recomendados si se quiere ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento). |
Mínimo 8 vCPUs, 16-GB de memoria principal, suficiente espacio en disco duro y monitorización para asegurar que no se excede (2-TB recomendados si se quiere ejecutar la base de datos durante mucho tiempo sin necesidad de aumentar el almacenamiento). |
El software HDS instala actualmente las siguientes versiones de controladores para la comunicación con el servidor de bases de datos:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Controlador Postgres JDBC 42.2.5 |
Controlador JDBC 4.6 de SQL Server Esta versión del controlador es compatible con SQL Server Always On ( Always On Failover Cluster Instances y Always On availability groups). |
Requisitos adicionales para la autenticación de Windows con Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para acceder a su base de datos de almacén de claves en Microsoft SQL Server, entonces necesita la siguiente configuración en su entorno:
-
Los nodos HDS, la infraestructura Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporcione a los nodos HDS deben ser capaces de resolver su Centro de Distribución de Claves (KDC).
-
Puede registrar la instancia de base de datos HDS en su Microsoft SQL Server como un Service Principal Name (SPN) en su Active Directory. Consulte Registrar un nombre de entidad de seguridad de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben utilizar la autenticación de Windows para acceder a la base de datos de almacenes de claves. Utilizan los detalles de su configuración ISO para construir el SPN cuando solicitan acceso con autenticación Kerberos.
Requisitos de conectividad externa
Configure su cortafuegos para permitir la siguiente conectividad para las aplicaciones HDS:
|
Aplicación |
Protocol |
Puerto |
Dirección de la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos híbridos de seguridad de datos |
TCP |
443 |
HTTPS saliente y WSS |
|
|
Herramienta de configuración HDS |
TCP |
443 |
HTTPS saliente |
|
| Los nodos híbridos de seguridad de datos funcionan con traducción de acceso a la red (NAT) o detrás de un cortafuegos, siempre que el NAT o el cortafuegos permitan las conexiones salientes necesarias a los destinos de dominio de la tabla anterior. Para las conexiones entrantes a los nodos de Hybrid Data Security, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceder a los nodos de Hybrid Data Security en los puertos TCP 443 y 22, con fines administrativos. |
Las URL de los hosts de Identidad Común (CI) son específicas de cada región. Estos son los hosts CI actuales:
|
Región |
URL de host de identidad comunes |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir en el establecimiento de conexiones websocket (wss:). Para solucionar este problema, consulte Configure Squid Proxies for Hybrid Data Security.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Cumplir los requisitos previos para la seguridad híbrida de datos
| 1 |
Asegúrate de que tu organización Webex está habilitada para Pro Pack para Cisco Webex Control Hub y obtén las credenciales de una cuenta con plenos derechos de administrador de la organización. Póngase en contacto con su partner o gestor de cuentas de Cisco para obtener ayuda con este proceso. | ||
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, | ||
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de Hybrid Data Security en su clúster. Necesita al menos dos hosts independientes (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan los requisitos de Virtual Host Requirements. | ||
| 4 |
Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos . El servidor de base de datos debe colocarse en el centro de datos seguro con los hosts virtuales. | ||
| 5 |
Para una rápida recuperación en caso de desastre, establezca un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales que ejecutan nodos HDS, el entorno de copia de seguridad debe tener 3 máquinas virtuales. | ||
| 6 |
Configure un host syslog para recopilar registros de los nodos del clúster. Recoge su dirección de red y el puerto syslog (por defecto es UDP 514). | ||
| 7 |
Cree una política de copia de seguridad segura para los nodos de Hybrid Data Security, el servidor de base de datos y el host de syslog. Como mínimo, para evitar la pérdida irrecuperable de datos, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de Hybrid Data Security.
Los clientes de Webex App almacenan en caché sus claves, por lo que una interrupción puede no ser inmediatamente perceptible, pero se hará evidente con el tiempo. Aunque los cortes temporales son imposibles de evitar, son recuperables. Sin embargo, la pérdida total (sin copias de seguridad disponibles) de la base de datos o del archivo ISO de configuración provocará la irrecuperabilidad de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce un fallo catastrófico. | ||
| 8 |
Asegúrese de que la configuración del cortafuegos permite la conectividad de los nodos de Hybrid Data Security, tal y como se indica en Requisitos de conectividad externa. | ||
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar HDS Setup Tool, que genera la información de configuración local para todos los nodos de Hybrid Data Security. Es posible que su organización necesite una licencia de Docker Desktop. Consulte Docker Desktop Requirements para obtener más información. Para instalar y ejecutar HDS Setup Tool, el equipo local debe tener la conectividad indicada en Requisitos de conectividad externa. | ||
| 10 |
Si va a integrar un proxy con Hybrid Data Security, asegúrese de que cumple los requisitos de Proxy Server Requirements. | ||
| 11 |
Si su organización utiliza la sincronización de directorios, cree un grupo en Active Directory llamado
|
Flujo de tareas de despliegue de la seguridad de datos híbrida
Antes de empezar
| 1 |
Descargar archivos de instalación Descargue el archivo OVA a su máquina local para su uso posterior. | ||
| 2 |
Crear una ISO de configuración para los hosts HDS Utilice HDS Setup Tool para crear un archivo de configuración ISO para los nodos de Hybrid Data Security. | ||
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red.
| ||
| 4 |
Configurar la máquina virtual híbrida de seguridad de datos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento del despliegue del OVA. | ||
| 5 |
Cargar y montar la ISO de configuración de HDS Configure la VM desde el archivo de configuración ISO que creó con la Herramienta de Configuración HDS. | ||
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere una configuración proxy, especifique el tipo de proxy que utilizará para el nodo y añada el certificado proxy al almacén de confianza si es necesario. | ||
| 7 |
Registrar el primer nodo del clúster Registre la máquina virtual en la nube Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 |
Ejecutar una prueba y pasar a producción (capítulo siguiente) Hasta que no inicie una prueba, sus nodos generarán una alarma indicando que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 |
Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 |
En la sección Servicios híbridos, busque la tarjeta Seguridad de datos híbrida y, a continuación, haga clic en Configurar. Si la tarjeta está desactivada o no la ve, póngase en contacto con el equipo de su cuenta o con su organización asociada. Dales tu número de cuenta y pide que habiliten tu organización para Hybrid Data Security. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 |
Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su máquina.
| ||||
| 4 |
Si lo desea, haga clic en Abrir guía de implantación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Hybrid Data Security crea un archivo ISO. A continuación, utilice la ISO para configurar su host híbrido de seguridad de datos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.
Si la herramienta HDS Setup se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de variables de entorno Docker al abrir el contenedor Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTOProxy HTTPS sin autenticación
GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTOProxy HTTP con autenticación
GLOBAL_AGENTE_HTTP_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
GLOBAL_AGENTE_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTO -
El archivo ISO de configuración que se genera contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesitarás la copia más reciente de este archivo cada vez que realices cambios de configuración, como éstos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorizaciones
-
-
Si tiene previsto cifrar las conexiones a bases de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP:
| ||||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||||
| 6 |
Utiliza un navegador web para ir a localhost, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Inicie sesión en para permitir el acceso a los servicios necesarios para Hybrid Data Security. | ||||||||||||
| 8 |
En la página general de la Herramienta de Configuración, haga clic en Get Started. | ||||||||||||
| 9 |
En la página ISO Import , tiene estas opciones:
| ||||||||||||
| 10 |
Compruebe que su certificado X.509 cumple los requisitos de X.509 Certificate Requirements.
| ||||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 |
Seleccione un modo de conexión de base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, HDS Setup Tool probará la conexión TLS con el servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS aunque la máquina HDS Setup Tool no pueda probarla con éxito). | ||||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado de algunos parámetros de conexión a la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede interesarle modificar: | ||||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarda el archivo en un lugar fácil de encontrar. | ||||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantén segura la copia de seguridad. Este archivo contiene una clave de encriptación maestra para el contenido de la base de datos. Restrinja el acceso sólo a los administradores de Hybrid Data Security que deban realizar cambios en la configuración. | ||||||||||||
| 18 |
Para cerrar la Herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. La necesita para crear más nodos de recuperación o para realizar cambios de configuración. Si pierdes todas las copias del archivo ISO, también habrás perdido la clave maestra. No es posible recuperar las claves de su base de datos PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta clave y no podemos ayudarte si la pierdes. |
Instale el OVA del host HDS
| 1 |
Utilice el cliente VMware vSphere de su ordenador para iniciar sesión en el host virtual ESXi. | ||||||
| 2 |
Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 |
En la página Seleccione un nombre y una carpeta , introduzca un Nombre de máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 |
En la página Seleccionar un recurso informático , elija el recurso informático de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Cuando termine, aparecerán los detalles de la plantilla. | ||||||
| 6 |
Verifique los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 |
Si se le pide que elija la configuración de recursos en la página Configuración , haga clic en 4 CPU y, a continuación, en Siguiente. | ||||||
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco y la política de almacenamiento VM predeterminados. | ||||||
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de los ajustes de red y seguir los pasos indicados en Set up the Hybrid Data Security VM para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 |
Haga clic con el botón derecho en el nodo VM y, a continuación, seleccione . El software Hybrid Data Security se instala como invitado en el VM Host. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual híbrida de seguridad de datos
Siga este procedimiento para iniciar sesión en la consola VM del nodo de seguridad de datos híbridos por primera vez y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento del despliegue del OVA.
| 1 |
En el cliente VMware vSphere, seleccione su VM del nodo Hybrid Data Security y seleccione la pestaña Console . La máquina virtual arranca y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que es la primera vez que inicia sesión en su máquina virtual, deberá cambiar la contraseña de administrador. |
| 3 |
Si ya ha configurado los ajustes de red en Install the HDS Host OVA, omita el resto de este procedimiento. Si no, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con dirección IP, máscara, puerta de enlace e información DNS. Su nodo debe tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, dominio o servidor(es) NTP, si es necesario para que coincida con su política de red. No es necesario que configure el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de empezar
Dado que el archivo ISO contiene la clave maestra, sólo debe exponerse en caso de "necesidad de conocer", para el acceso de las máquinas virtuales híbridas de seguridad de datos y cualquier administrador que pueda necesitar realizar cambios. Asegúrese de que sólo esos administradores pueden acceder al almacén de datos.
| 1 |
Cargue el archivo ISO desde su ordenador: |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar opcionalmente el archivo ISO después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Unmount ISO After HDS Configuration para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de empezar
-
Consulte Proxy Support para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Registrar el primer nodo del clúster
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un clúster contiene uno o más nodos desplegados para proporcionar redundancia.
Antes de empezar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrate de que los bloqueadores de ventanas emergentes de tu navegador están desactivados o de que permites una excepción para admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios híbridos, busque Seguridad de datos híbrida y haga clic en Configurar. Aparecerá la página Registrar nodo híbrido de seguridad de datos.
|
| 4 |
Seleccione Sí para indicar que ha configurado el nodo y que está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 |
En el primer campo, introduzca un nombre para el clúster al que desea asignar su nodo híbrido de seguridad de datos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco", "Nueva York" o "Dallas". |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completo (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Set up the Hybrid Data Security VM. Aparecerá un mensaje indicándole que puede registrar su nodo en el Webex.
|
| 7 |
Haga clic en Ir al nodo. |
| 8 |
En el mensaje de advertencia, haga clic en Continuar. Tras unos instantes, se le redirigirá a las pruebas de conectividad del nodo para los servicios Webex. Si todas las pruebas se realizan correctamente, aparecerá la página Permitir acceso al nodo híbrido de seguridad de datos. Allí, confirmas que quieres dar permisos a tu organización Webex para acceder a tu nodo.
|
| 9 |
Marque la casilla de verificación Permitir acceso a su nodo híbrido de seguridad de datos y, a continuación, haga clic en Continuar. Su cuenta se valida y el mensaje "Registro completado" indica que su nodo ya está registrado en la nube Webex.
|
| 10 |
Haga clic en el enlace o cierre la pestaña para volver a la página Seguridad de datos híbridos del concentrador de control. En la página Hybrid Data Security , se muestra el nuevo clúster que contiene el nodo que ha registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Complete the Prerequisites for Hybrid Data Security son hosts en espera que sólo se utilizan en caso de recuperación ante desastres; no se registran en el sistema hasta entonces. Para obtener más información, consulte Disaster Recovery using Standby Data Center. |
Antes de empezar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrate de que los bloqueadores de ventanas emergentes de tu navegador están desactivados o de que permites una excepción para admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del OVA, repitiendo los pasos de Install the HDS Host OVA. |
| 2 |
Establezca la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Set up the Hybrid Data Security VM. |
| 3 |
En la nueva máquina virtual, repita los pasos de Upload and Mount the HDS Configuration ISO. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configure the HDS Node for Proxy Integration según sea necesario para el nuevo nodo. |
| 5 |
Registra el nodo. Tu nodo está registrado. Tenga en cuenta que hasta que no inicie una prueba, sus nodos generarán una alarma indicando que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un clúster de seguridad de datos híbrido, puede iniciar un piloto, añadirle usuarios y empezar a utilizarlo para probar y verificar la implantación como preparación para el paso a producción.
Antes de empezar
| 1 |
Si procede, sincronice el objeto de grupo Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar el objeto de grupo |
| 2 |
Inicie un juicio. Hasta que no realice esta tarea, sus nodos generarán una alarma indicando que el servicio aún no está activado. |
| 3 |
Pruebe su despliegue híbrido de seguridad de datos Compruebe que las solicitudes de claves pasan a su implementación de Hybrid Data Security. |
| 4 |
Supervisar el estado de la seguridad de los datos híbridos Comprueba el estado y configura notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 |
Completa la fase de prueba con una de las siguientes acciones: |
Activar prueba
Antes de empezar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar el objeto de grupo HdsTrialGroup para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implantación de Cisco Directory Connector en .
| 1 |
Inicie sesión en https://admin.webex.com y, a continuación, seleccione Servicios. |
| 2 |
En Hybrid Data Security, haga clic en Settings. |
| 3 |
En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia a modo de prueba.
|
| 4 |
Haga clic en Add Users e introduzca la dirección de correo electrónico de uno o varios usuarios para pilotar el uso de sus nodos Hybrid Data Security para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para gestionar el grupo de prueba, |
Pruebe su despliegue híbrido de seguridad de datos
Antes de empezar
-
Configure su despliegue de Seguridad de Datos Híbrida.
-
Active la versión de prueba y añada varios usuarios de prueba.
-
Asegúrese de que tiene acceso al syslog para verificar que las solicitudes de claves pasan a su implementación de Hybrid Data Security.
| 1 |
Las claves de un espacio determinado las establece el creador del mismo. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario no piloto.
| ||
| 2 |
Enviar mensajes al nuevo espacio. | ||
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de claves pasan a su implementación de Hybrid Data Security. |
Supervisar el estado de la seguridad de los datos híbridos
| 1 |
En Control Hub, seleccione Servicios en el menú de la parte izquierda de la pantalla. |
| 2 |
En la sección Servicios híbridos, busque Seguridad de datos híbrida y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y pulse Entrar. |
Añadir o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y creación de claves al KMS de la nube en lugar de a su KMS. Si el cliente necesita una clave que está almacenada en su KMS, el KMS en la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para gestionar el grupo de prueba, HdsTrialGroup; puede ver los miembros del grupo en Control Hub pero no puede añadirlos ni eliminarlos.
| 1 |
Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 |
En Hybrid Data Security, haga clic en Settings. |
| 3 |
En la sección Modo de prueba del área Estado del servicio, haga clic en Añadir usuarios, o haga clic en ver y editar para eliminar usuarios de la prueba. |
| 4 |
Introduzca la dirección de correo electrónico de uno o varios usuarios para añadirlos, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego haga clic en Guardar. |
Pasar de la fase de prueba a la de producción
| 1 |
Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 |
En Hybrid Data Security, haga clic en Settings. |
| 3 |
En la sección Estado del servicio, haga clic en Pasar a producción. |
| 4 |
Confirme que desea mover todos sus usuarios a producción. |
Finalice su prueba sin pasar a producción
| 1 |
Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 |
En Hybrid Data Security, haga clic en Settings. |
| 3 |
En la sección Desactivar, haga clic en Desactivar. |
| 4 |
Confirme que desea desactivar el servicio y finalizar la prueba. |
Gestionar la implantación de HDS
Utilice las tareas que se describen a continuación para gestionar la implantación de Hybrid Data Security.
Establecer el calendario de actualización del clúster
Para establecer el programa de actualización:
| 1 |
Inicie sesión en el Control Hub. |
| 2 |
En la página Descripción general, en Servicios híbridos, seleccione Hybrid Data Security. |
| 3 |
En la página Recursos de seguridad de datos híbridos, seleccione el clúster. |
| 4 |
En el panel Visión general de la derecha, en Configuración del clúster, seleccione el nombre del clúster. |
| 5 |
En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la actualización al día siguiente, si es necesario, haciendo clic en Posponer. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave-La contraseña antigua y la nueva funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Hard reset-Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.
Si la herramienta HDS Setup se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de variables de entorno Docker al abrir el contenedor Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENTE_HTTP_PROXY=http://SERVER_IP:PUERTOProxy HTTPS sin autenticación
GLOBAL_AGENTE_HTTPS_PROXY=http://SERVER_IP:PUERTOProxy HTTP con autenticación
GLOBAL_AGENTE_HTTP_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
GLOBAL_AGENTE_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVIDOR_IP:PUERTO -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 |
Si sólo dispone de un nodo HDS que ejecute, cree una nueva VM de nodo Hybrid Data Security y regístrela utilizando el nuevo archivo ISO de configuración. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: | ||||||
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de empezar
| 1 |
En un navegador web, abra la interfaz del nodo Hybrid Data Security (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Utilice el cliente VMware vSphere de su ordenador para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimina el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la VM y haga clic en Eliminar.) Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no podrás utilizar la máquina virtual para acceder a tus datos de seguridad. |
Recuperación en caso de catástrofe mediante un centro de datos de reserva
El servicio más crítico que proporciona su clúster de seguridad de datos híbrida es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otros contenidos almacenados en la nube Webex. Para cada usuario de la organización asignado a Hybrid Data Security, las nuevas solicitudes de creación de claves se dirigen al clúster. El clúster también es responsable de devolver las claves que ha creado a los usuarios autorizados a recuperarlas, por ejemplo, los miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos Hybrid Data Security o de la ISO de configuración utilizada para el esquema provocará una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar este tipo de pérdidas:
Si un desastre provoca que la implementación de HDS en el centro de datos primario deje de estar disponible, siga este procedimiento para conmutar por error manualmente al centro de datos en espera.
| 1 |
Inicie la herramienta HDS Setup y siga los pasos mencionados en Create a Configuration ISO for the HDS Hosts. | ||
| 2 |
Después de configurar el servidor Syslogd, haga clic en Advanced Settings | ||
| 3 |
En la página Configuración avanzada , añada la configuración que se indica a continuación o elimine la configuración
| ||
| 4 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. | ||
| 5 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantén segura la copia de seguridad. Este archivo contiene una clave de encriptación maestra para el contenido de la base de datos. Restrinja el acceso sólo a los administradores de Hybrid Data Security que deban realizar cambios en la configuración. | ||
| 6 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic con el botón derecho en la VM y haga clic en Edit Settings.. | ||
| 7 |
Haga clic en Edit Settings >CD/DVD Drive 1 y seleccione Datastore ISO File.
| ||
| 8 |
Encienda el nodo HDS y asegúrese de que no hay alarmas durante al menos 15 minutos. | ||
| 9 |
Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración HDS estándar funciona con la ISO montada. Pero, algunos clientes prefieren no dejar los archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos HDS recojan la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios en la configuración. Cuando cree una nueva ISO o actualice una ISO a través de la Herramienta de Configuración, debe montar la ISO actualizada en todos sus nodos HDS. Una vez que todos sus nodos hayan recogido los cambios de configuración, puede desmontar la ISO de nuevo con este procedimiento.
Antes de empezar
Actualice todos sus nodos HDS a la versión 2021.01.22.4720 o posterior.
| 1 |
Apague uno de sus nodos HDS. |
| 2 |
En vCenter Server Appliance, seleccione el nodo HDS. |
| 3 |
Elija y desmarque Datastore ISO File. |
| 4 |
Encienda el nodo HDS y asegúrese de que no hay alarmas durante al menos 20 minutos. |
| 5 |
Repita el procedimiento para cada nodo HDS sucesivamente. |
Ver alertas y solucionar problemas
Se considera que una implementación de seguridad de datos híbrida no está disponible si no se puede acceder a todos los nodos del clúster, o si el clúster funciona con tanta lentitud que se agotan los tiempos de espera de las solicitudes. Si los usuarios no pueden acceder a su clúster de Hybrid Data Security, experimentan los siguientes síntomas:
-
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
-
Los mensajes y los títulos de los espacios no se descifran:
-
Nuevos usuarios añadidos a un espacio (no se pueden recuperar las claves)
-
Usuarios existentes en un espacio que utilizan un nuevo cliente (incapaces de obtener claves)
-
-
Los usuarios existentes en un espacio seguirán funcionando correctamente mientras sus clientes dispongan de una memoria caché de las claves de cifrado.
Es importante que supervise adecuadamente su clúster híbrido de seguridad de datos y que aborde cualquier alerta con prontitud para evitar la interrupción del servicio.
publicación
Si hay algún problema con la configuración de Hybrid Data Security, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Compruebe si hay errores en la base de datos o problemas en la red local. |
|
Fallo de conexión a la base de datos local. |
Compruebe que el servidor de base de datos está disponible y que se han utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Fallo de acceso al servicio en la nube. |
Compruebe que los nodos pueden acceder a los servidores Webex tal y como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro de servicios en la nube. |
Se ha suprimido el registro en los servicios en nube. La renovación del registro está en curso. |
|
Se ha caído el registro del servicio en la nube. |
Finalizado el registro en los servicios en la nube. El servicio está cerrado. |
|
Servicio aún no activado. |
Active una prueba o termine de pasar la prueba a producción. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincide con el dominio de activación de servicios configurado. La causa más probable es que el CN del certificado haya cambiado recientemente y ahora sea diferente del CN que se utilizó durante la configuración inicial. |
|
Fallo al autenticarse en los servicios en la nube. |
Compruebe la exactitud y posible caducidad de las credenciales de la cuenta de servicio. |
|
No se ha podido abrir el almacén de claves local. |
Compruebe la integridad y la exactitud de la contraseña en el archivo de almacén de claves local. |
|
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que ha sido emitido por una autoridad de certificación de confianza. |
|
No se pueden publicar métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solución de problemas de seguridad de datos híbridos
| 1 |
Revise el Centro de Control en busca de alertas y corrija los elementos que encuentre allí. |
| 2 |
Revise la salida del servidor syslog en busca de actividad de la implantación de Hybrid Data Security. |
| 3 |
Póngase en contacto con Asistencia de Cisco. |
Problemas conocidos para la seguridad de los datos híbridos
-
Si apaga el clúster de Hybrid Data Security (borrándolo en Control Hub o apagando todos los nodos), pierde el archivo ISO de configuración o pierde el acceso a la base de datos de almacenes de claves, los usuarios de su aplicación Webex ya no podrán utilizar los espacios de su lista de personas creados con claves de su KMS. Esto se aplica tanto a las implantaciones de prueba como a las de producción. Actualmente no disponemos de una solución o arreglo para este problema y le instamos a que no cierre sus servicios HDS una vez que estén gestionando cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un periodo de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbrida, el cliente del usuario sigue utilizando la conexión ECDH existente hasta que se agota. Como alternativa, el usuario puede cerrar la sesión y volver a entrar en la aplicación Webex para actualizar la ubicación con la que la aplicación se pone en contacto para obtener las claves de cifrado.
El mismo comportamiento se produce al pasar una prueba a producción para la organización. Todos los usuarios no participantes en el ensayo que dispongan de conexiones ECDH con los servicios de seguridad de datos anteriores seguirán utilizando dichos servicios hasta que se renegocie la conexión ECDH (mediante tiempo de espera o cerrando y volviendo a abrir la sesión).
Utilizar OpenSSL para generar un archivo PKCS12
Antes de empezar
-
OpenSSL es una herramienta que se puede utilizar para hacer que el archivo PKCS12 en el formato adecuado para la carga en la Herramienta de Configuración HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos una sobre otra.
-
Si decide utilizar OpenSSL, le ofrecemos este procedimiento como guía para ayudarle a crear un archivo que cumpla los requisitos de los certificados X.509 en Requisitos de los certificados X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte el software y la documentación en https://www.openssl.org .
-
Crea una clave privada.
-
Inicie este procedimiento cuando reciba el certificado del servidor de su Autoridad de Certificación (CA).
| 1 |
Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Utilice un editor de texto para crear un archivo de paquete de certificados llamado
|
| 4 |
Cree el archivo .p12 con el nombre amigable
|
| 5 |
Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Complete los requisitos previos para la seguridad de datos híbrida. Utilizará el archivo hdsnode.p12 , y la contraseña que ha establecido para él, en Crear una ISO de configuración para los hosts HDS.
| Puede reutilizar estos archivos para solicitar un nuevo certificado cuando caduque el original. |
Tráfico entre los nodos HDS y la nube
Tráfico saliente de recogida de métricas
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube Webex. Entre ellas se incluyen métricas del sistema para heap max, heap usado, carga de CPU y recuento de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que implican un umbral de conexiones de cifrado, latencia o una longitud de cola de peticiones; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían material clave cifrado a través de un canal fuera de banda (independiente de la solicitud).
Tráfico entrante
Los nodos de Hybrid Data Security reciben los siguientes tipos de tráfico entrante desde la nube Webex:
-
Solicitudes de cifrado de los clientes, que son enrutadas por el servicio de cifrado
-
Actualizaciones del software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir en el establecimiento de las conexiones websocket (wss:) que requiere Hybrid Data Security. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Añada la directiva on_unsupported_protocol a squid.conf:
on_unsupported_protocol túnel todoSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allFlujo de tareas de despliegue de seguridad de datos híbridos
Antes de comenzar
| 1 | Descargar archivos de instalación Descargue el archivo OVA a su máquina local para utilizarlo más adelante. | ||
| 2 | Crear una ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. | ||
| 3 | Instalar el OVA de host de HDS Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red.
| ||
| 4 | Configurar la máquina virtual de seguridad de datos híbridos Inicie sesión en la consola de VM y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. | ||
| 5 | Cargar y montar la ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración de HDS. | ||
| 6 | Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. | ||
| 7 | Inscribir el primer nodo en el grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. | ||
| 8 |
Complete la configuración del clúster. | ||
| 9 | Ejecutar una prueba y pasar a producción (siguiente capítulo) Hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado. |
Descargar archivos de instalación
| 1 | Inicie sesión en https://admin.webex.com y, a continuación, haga clic en Servicios. | ||||
| 2 | En la sección Servicios híbridos, busque la tarjeta de Seguridad de datos híbridos y, a continuación, haga clic en Configurar. Si la tarjeta está deshabilitada o no la ve, comuníquese con su equipo de cuentas o con la organización de su socio. Proporciónele su número de cuenta y pídale que habilite su organización para la seguridad de datos híbridos. Para encontrar el número de cuenta, haga clic en el engranaje de la parte superior derecha, junto al nombre de su organización.
| ||||
| 3 | Seleccione No para indicar que aún no ha configurado el nodo y, a continuación, haga clic en Siguiente. El archivo OVA comienza a descargarse automáticamente. Guarde el archivo en una ubicación de su equipo.
| ||||
| 4 | También puede hacer clic en Abrir guía de implementación para comprobar si hay disponible una versión posterior de esta guía. |
Crear una ISO de configuración para los hosts HDS
El proceso de configuración de Seguridad de datos híbridos crea un archivo ISO. A continuación, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a ella, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador totales para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al subir el contenedor de Docker en el paso 5. Esta tabla ofrece algunas posibles variables del entorno:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTEl archivo ISO de configuración que genera contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la última copia de este archivo cada vez que realice cambios de configuración, como estos:
Credenciales de base de datos
Actualizaciones de certificados
Cambios en la política de autorización
Si planea cifrar las conexiones de la base de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 | En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos normales: En entornos de FedRAMP:
| ||||||||||||
| 2 | Para iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente: | ||||||||||||
| 3 | En el mensaje de contraseña, introduzca este hash: | ||||||||||||
| 4 | Descargue la imagen estable más reciente para su entorno: En entornos normales: En entornos de FedRAMP: | ||||||||||||
| 5 | Cuando finalice la extracción, introduzca el comando correspondiente para su entorno:
Cuando el contenedor se esté ejecutando, verá "Express server listening on port 8080" (Escucha del servidor expreso en el puerto 8080). | ||||||||||||
| 6 |
Utilice un navegador web para ir al host regional, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||||
| 7 | Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de clientes de Control Hub y, a continuación, haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbridos. | ||||||||||||
| 8 | En la página de descripción general de la herramienta de configuración, haga clic en Comenzar. | ||||||||||||
| 9 | En la página Importación ISO, tiene las siguientes opciones:
| ||||||||||||
| 10 | Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||||
| 11 | Introduzca la dirección y la cuenta de la base de datos para que HDS acceda a su almacén de datos clave: | ||||||||||||
| 12 | Seleccione un modo de conexión de base de datos de TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el nombre de host y el firmante del certificado, si corresponde. Si una prueba falla, la herramienta muestra un mensaje de error que describe el problema. Puede elegir si desea ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos de HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración de HDS no puede probarla correctamente). | ||||||||||||
| 13 | En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||||
| 14 | (Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de la base de datos en Configuración avanzada. Por lo general, este parámetro es el único que podría querer cambiar: | ||||||||||||
| 15 | Haga clic en Continue (Continuar) en la pantalla Reset Service Accounts Password (Restablecer contraseña de cuentas de servicio). Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||||
| 16 | Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||||
| 17 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||||
| 18 | Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Haga una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también perdió la clave maestra. No es posible recuperar las claves de la base de datos de PostgreSQL o Microsoft SQL Server.
| Nunca tenemos una copia de esta llave y no podemos ayudar si la pierdes. |
Instalar el OVA de host de HDS
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi. | ||||||
| 2 | Seleccione Archivo > Implementar plantilla OVF. | ||||||
| 3 | En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. | ||||||
| 4 | En el Seleccionar un nombre y una carpeta página , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir el despliegue del nodo de la máquina virtual y, a continuación, haga clic en Siguiente. | ||||||
| 5 | En el Seleccionar un recurso de cálculo página , elija el recurso de cálculo de destino y, a continuación, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecen los detalles de la plantilla. | ||||||
| 6 | Compruebe los detalles de la plantilla y haga clic en Siguiente. | ||||||
| 7 | Si se le solicita que elija la configuración de recursos en Configuración página , haga clic en 4 CPU y luego haga clic en Siguiente. | ||||||
| 8 | En el Seleccionar almacenamiento página , haga clic en Siguiente para aceptar el formato de disco predeterminado y la directiva de almacenamiento de máquinas virtuales. | ||||||
| 9 | En el Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. | ||||||
| 10 | En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos de Configurar la máquina virtual de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo.
| ||||||
| 11 | Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software Hybrid Data Security está instalado como invitado en el host de la máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo de seguridad de datos híbridos por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 | En el cliente vSphere de VMware, seleccione la máquina virtual de su nodo de seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual se inicia y aparece un mensaje de inicio de sesión. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 | Utilice el siguiente nombre de usuario y contraseña predeterminados para iniciar sesión y cambiar las credenciales: Dado que inicia sesión en su máquina virtual por primera vez, debe cambiar la contraseña de administrador. |
| 3 | Si ya configuró la configuración de red en Instalar el archivo OVA de host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 | Configure una configuración estática con dirección IP, máscara, puerta de enlace e información de DNS. Su nodo debe tener una dirección IP y un nombre DNS internos. No se admite DHCP. |
| 5 | (Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario para coincidir con su política de red. No es necesario configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 | Guarde la configuración de red y reinicie la máquina virtual para que los cambios surtan efecto. |
Cargar y montar la ISO de configuración de HDS
Antes de comenzar
Dado que el archivo ISO tiene la clave maestra, solo debe exponerse en función de la "necesidad de conocerla", para que puedan acceder las máquinas virtuales de seguridad de datos híbridos y los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 | Cargue el archivo ISO desde su computadora: |
| 2 | Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos sus nodos recojan los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con Seguridad de datos híbridos. Si elige un proxy de inspección transparente o un proxy explícito HTTPS, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede comprobar la conexión del proxy desde la interfaz y solucionar cualquier problema potencial.
Antes de comenzar
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 | Introduzca la URL de configuración del nodo de HDS |
| 2 | Vaya a Almacén de confianza y proxy y, a continuación, elija una opción:
Siga los siguientes pasos para obtener un proxy de inspección transparente, un proxy explícito HTTP con autenticación básica o un proxy explícito HTTPS. |
| 3 | Haga clic en Cargar un certificado raíz o certificado de entidad final y, a continuación, desplácese hasta elegir el certificado raíz para el proxy. El certificado se cargó pero aún no se instaló porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha chevron junto al nombre del emisor del certificado para obtener más detalles o haga clic en Eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 | Haga clic en Comprobar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si la prueba de conexión falla, verá un mensaje de error que muestra el motivo y cómo puede corregir el problema. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícito. Puede continuar con la configuración y el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, realice estos pasos y, a continuación, consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 | Una vez superada la prueba de conexión, para el proxy explícito configurado solo en https, active la alternancia a Enrutar todas las solicitudes https de puertos 443/444 de este nodo a través del proxy explícito. Esta configuración requiere 15 segundos para que surta efecto. |
| 6 | Haga clic en Instalar todos los certificados en el almacén de confianza (aparece para un proxy explícito HTTPS o un proxy de inspección transparente) o Reiniciar (aparece para un proxy explícito HTTP), lea el mensaje y, a continuación, haga clic en Instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 | Una vez que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la página Descripción general para comprobar las comprobaciones de conectividad y asegurarse de que todas estén en estado verde. La comprobación de la conexión del proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios en la nube enumerados en las instrucciones de instalación se están bloqueando en el proxy. |
Inscribir el primer nodo en el grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Inicie sesión en https://admin.webex.com. |
| 2 | En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configurar. Aparece la página Registrar nodo de seguridad de datos híbridos.
|
| 4 | Seleccione Sí para indicar que ha configurado el nodo y está listo para registrarlo y, a continuación, haga clic en Siguiente. |
| 5 | En el primer campo, introduzca un nombre para el grupo al que desea asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 | En el segundo campo, introduzca la dirección IP interna o el nombre de dominio totalmente calificado (FQDN) de su nodo y haga clic en Siguiente. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la máquina virtual de seguridad de datos híbridos. Aparecerá un mensaje que indica que puede inscribir su nodo en Webex.
|
| 7 | Haga clic en Ir al nodo. |
| 8 | En el mensaje de advertencia, haga clic en Continuar. Después de unos instantes, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas son correctas, aparece la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo.
|
| 9 | Marque la casilla de verificación Permitir acceso a su nodo de seguridad de datos híbridos y, a continuación, haga clic en Continuar. Su cuenta está validada y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 10 | Haga clic en el enlace o cierre la ficha para volver a la página Seguridad de datos híbridos de Control Hub. En la página Seguridad de datos híbridos, se muestra el nuevo grupo que contiene el nodo registrado. El nodo descargará automáticamente el software más reciente de la nube.
|
Crear y registrar más nodos
| En este momento, las máquinas virtuales de copia de seguridad que creó en Completar los requisitos previos para la seguridad de datos híbridos son hosts de espera que solo se utilizan en caso de recuperación de desastres; no están registrados en el sistema hasta entonces. Para obtener más información, consulte Recuperación ante desastres mediante el centro de datos en espera. |
Antes de comenzar
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
Asegúrese de que los bloqueadores de elementos emergentes de su navegador estén deshabilitados o de que usted permita una excepción para admin.webex.com.
| 1 | Cree una nueva máquina virtual desde el archivo OVA y repita los pasos de Instalar el archivo OVA host de HDS. |
| 2 | Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos de Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 | En la nueva máquina virtual, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 | Si está configurando un proxy para su implementación, repita los pasos de Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 | Inscriba el nodo. Su nodo está registrado. Tenga en cuenta que hasta que inicie una prueba, sus nodos generan una alarma que indica que su servicio aún no está activado.
|
Qué hacer a continuación
Flujo de tareas de prueba a producción
Después de configurar un grupo de seguridad de datos híbridos, puede iniciar una prueba piloto, agregar usuarios y comenzar a utilizarla para probar y verificar su implementación como preparación para pasar a producción.
Antes de comenzar
| 1 | Si corresponde, sincronice el Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción |
| 2 |
Inicie una prueba. Hasta que realice esta tarea, sus nodos generarán una alarma que indica que el servicio aún no está activado. |
| 3 | Pruebe su implementación de seguridad de datos híbridos Compruebe que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
| 4 | Supervisión del estado de la seguridad de datos híbridos Compruebe el estado y configure las notificaciones por correo electrónico para las alarmas. |
| 5 | |
| 6 | Completar la fase del ensayo con una de las siguientes acciones: |
Activar prueba
Antes de comenzar
Si su organización utiliza la sincronización de directorios para los usuarios, debe seleccionar la opción HdsTrialGroup objeto de grupo para la sincronización con la nube antes de poder iniciar una prueba para su organización. Para obtener instrucciones, consulte la Guía de implementación del Conector de directorios de Cisco.
| 1 | Inicie sesión en https://admin.webex.com y luego seleccione Services (Servicios). |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Iniciar prueba. El estado del servicio cambia al modo de prueba.
|
| 4 | Haga clic en Add Users (Agregar usuarios) e introduzca la dirección de correo electrónico de uno o más usuarios para probar el uso de sus nodos de seguridad de datos híbridos para los servicios de cifrado e indexación. (Si su organización utiliza la sincronización de directorios, utilice Active Directory para administrar el grupo de prueba, |
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
Configure su implementación de seguridad de datos híbridos.
Active la prueba y agregue varios usuarios de prueba.
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos.
| 1 | El creador del espacio establece las claves para un espacio determinado. Inicie sesión en la aplicación Webex como uno de los usuarios piloto y, a continuación, cree un espacio e invite al menos a un usuario piloto y a un usuario que no lo sea.
| ||
| 2 | Envíe mensajes al nuevo espacio. | ||
| 3 | Compruebe el resultado del syslog para verificar que las solicitudes clave se transfieran a su implementación de seguridad de datos híbridos. |
Supervisión del estado de la seguridad de datos híbridos
| 1 | En Control Hub, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 | En la sección Servicios híbridos, busque Seguridad de datos híbridos y haga clic en Configuración. Aparecerá la página Configuración de seguridad de datos híbridos.
|
| 3 | En la sección Notificaciones por correo electrónico, escriba una o varias direcciones de correo electrónico separadas por comas y presione Intro. |
Agregar o eliminar usuarios de su prueba
Si elimina un usuario de la prueba, el cliente del usuario solicitará claves y la creación de claves desde el KMS en la nube en lugar de su KMS. Si el cliente necesita una clave almacenada en su KMS, el KMS de la nube la obtendrá en nombre del usuario.
Si su organización utiliza la sincronización de directorios, utilice Active Directory (en lugar de este procedimiento) para administrar el grupo de prueba. HdsTrialGroup; puede ver los miembros del grupo en Control Hub, pero no puede agregarlos ni eliminarlos.
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Modo de prueba del área Estado del servicio, haga clic en Agregar usuarios o en ver y editar para eliminar usuarios de la prueba. |
| 4 | Introduzca la dirección de correo electrónico de uno o más usuarios a agregar, o haga clic en la X junto a un ID de usuario para eliminarlo de la prueba. Luego, haga clic en Guardar. |
Pasar de la prueba a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Estado del servicio, haga clic en Mover a producción. |
| 4 | Confirme que desea mover a todos sus usuarios a la producción. |
Finalice su prueba sin pasar a la producción
| 1 | Inicie sesión en Control Hub y, a continuación, seleccione Servicios. |
| 2 | En Seguridad de datos híbridos, haga clic en Configuración. |
| 3 | En la sección Desactivar, haga clic en Desactivar. |
| 4 | Confirme que desea desactivar el servicio y finalice la prueba. |
Administrar la implementación de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbridos.
Definir la planificación de la mejora del grupo
Para configurar la planificación de la mejora:
| 1 | Inicie sesión en el Control Hub. |
| 2 | En la página Descripción general, en Servicios híbridos, seleccione Seguridad de datos híbridos. |
| 3 | En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 4 | En el panel Descripción general de la derecha, en Configuración del grupo, seleccione el nombre del grupo. |
| 5 | En el área de Actualización de la página de Configuración, seleccione la hora y la zona horaria para la planificación de la actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora para el día siguiente si es necesario: para ello, haga clic en Posponer. |
Cambiar la configuración del nodo
Cambio de certificados x.509 debido a la caducidad u otros motivos.
No admitimos cambiar el nombre de dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.
No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server, o lo contrario. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Seguridad de datos híbridos.
Creación de una nueva configuración para preparar un nuevo centro de datos.
Además, por motivos de seguridad, Hybrid Data Security utiliza contraseñas de cuentas de servicio que tienen una vida útil de nueve meses. Después de que la herramienta de configuración de HDS genere estas contraseñas, se implementarán en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibirá un aviso del equipo de Webex para restablecer la contraseña de su cuenta de máquina. (El correo electrónico incluye el texto "Utilizar la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.
Restablecimiento duro: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y el reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a ella, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador totales para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando aparezca el contenedor de Docker en 1.e. Esta tabla ofrece algunas posibles variables del entorno:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTNecesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave maestra que encripta la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, como credenciales de base de datos, actualizaciones de certificados o cambios en la política de autorización.
| 1 | Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.
| ||||||
| 2 | Si solo tiene un nodo HDS en ejecución, cree una nueva máquina virtual de nodo de seguridad de datos híbridos y regístrela con el nuevo archivo ISO de configuración. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. | ||||||
| 3 | Para los nodos HDS existentes que estén ejecutando el archivo de configuración anterior, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo por turnos, actualizando cada nodo antes de desactivar el nodo siguiente: | ||||||
| 4 | Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando inscribe un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres de DNS públicos, el nodo pasa automáticamente al modo de resolución de DNS externo bloqueado.
Si sus nodos pueden resolver nombres de DNS públicos a través de servidores de DNS internos, puede desactivar este modo volviendo a ejecutar la prueba de conexión proxy en cada nodo.
Antes de comenzar
| 1 | En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo, https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, a continuación, haga clic en Iniciar sesión. |
| 2 | Vaya a Descripción general (la página predeterminada). Cuando está habilitada, la Resolución de DNS externa bloqueada se establece en Sí. |
| 3 | Vaya a la página Almacén de confianza y proxy. |
| 4 | Haga clic en Comprobar conexión de proxy. Si ve un mensaje que indica que la resolución de DNS externa no fue correcta, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la página Descripción general, la resolución de DNS externo bloqueada debería establecerse en No. |
Qué hacer a continuación
Eliminar un nodo
| 1 | Utilice el cliente vSphere de VMware en su computadora para conectarse al host virtual ESXi y apagar la máquina virtual. |
| 2 | Eliminar el nodo: |
| 3 | En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic con el botón derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede utilizar la máquina virtual para acceder a los datos de seguridad. |
Recuperación de desastres mediante el centro de datos en espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización que esté asignado a Seguridad de datos híbridos, las nuevas solicitudes de creación de claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas a cualquier usuario autorizado para recuperarlas, por ejemplo, miembros de un espacio de conversación.
Dado que el clúster realiza la función crítica de proporcionar estas claves, es imperativo que el clúster siga funcionando y que se mantengan copias de seguridad adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la configuración ISO utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para evitar esta pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación manual al centro de datos en espera.
| 1 | Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. | ||
| 2 | Después de configurar el servidor Syslogd, haga clic en Configuración avanzada | ||
| 3 | En la página Configuración avanzada, agregue la configuración a continuación o elimine la
| ||
| 4 | Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. | ||
| 5 | Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||
| 6 | En el panel de navegación izquierdo del cliente vSphere de VMware, haga clic con el botón derecho en la máquina virtual y haga clic en Editar configuración.. | ||
| 7 | Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos.
| ||
| 8 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. | ||
| 9 | Repita el proceso para cada nodo del centro de datos en espera.
|
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar los archivos ISO continuamente montados. Puede desmontar el archivo ISO después de que todos los nodos de HDS tomen la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios en la configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos de HDS. Una vez que todos los nodos hayan captado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Actualice todos sus nodos de HDS a la versión 2021.01.22.4720 o posterior.
| 1 | Apague uno de sus nodos de HDS. |
| 2 | En el dispositivo de servidor vCenter, seleccione el nodo HDS. |
| 3 | Elija y desmarque Archivo ISO del almacén de datos. |
| 4 | Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 | Repita para cada nodo de HDS. |
Ver alertas y solucionar problemas
Una implementación de seguridad de datos híbridos se considera no disponible si no se puede acceder a todos los nodos del grupo, o si el grupo funciona tan lentamente que solicita tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentan los siguientes síntomas:
No se pueden crear nuevos espacios (no se pueden crear nuevas claves)
Los mensajes y los títulos de los espacios no se pueden descifrar para:
Nuevos usuarios agregados a un espacio (no se pueden obtener las claves)
Usuarios existentes en un espacio que utilizan un cliente nuevo (no se pueden obtener las claves)
Los usuarios existentes en un espacio seguirán ejecutándose correctamente siempre que sus clientes tengan una caché de las claves de cifrado
Es importante que supervise correctamente su grupo de seguridad de datos híbridos y que aborde cualquier alerta de inmediato para evitar interrupciones en el servicio.
Alertas
Si hay un problema con la configuración de Seguridad de datos híbridos, Control Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchos escenarios comunes.
Alerta | Acción |
|---|---|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas en la red local. |
Error en la conexión de la base de datos local. |
Compruebe que el servidor de base de datos esté disponible y que se hayan utilizado las credenciales de cuenta de servicio correctas en la configuración del nodo. |
Error de acceso a los servicios en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
Renovación del registro de los servicios en la nube. |
Se ha eliminado el registro a los servicios en la nube. La renovación del registro está en curso. |
Se interrumpió el registro del servicio en la nube. |
La inscripción a los servicios en la nube ha finalizado. El servicio se está apagando. |
Servicio aún no activado. |
Active una prueba o termine de trasladar la prueba a producción. |
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el CN del certificado se cambió recientemente y ahora es diferente del CN que se utilizó durante la configuración inicial. |
No se pudo autenticar en los servicios en la nube. |
Compruebe la precisión y la posible caducidad de las credenciales de la cuenta de servicio. |
No se pudo abrir el archivo de almacén de claves local. |
Compruebe la integridad y la precisión de la contraseña en el archivo de almacén de claves local. |
El certificado del servidor local no es válido. |
Compruebe la fecha de caducidad del certificado del servidor y confirme que fue emitido por una autoridad de certificación de confianza. |
No se pueden publicar las métricas. |
Compruebe el acceso de la red local a los servicios externos en la nube. |
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje ISO en el host virtual. Compruebe que el archivo ISO existe, que está configurado para montarse al reiniciar y que se monta correctamente. |
Solucionar problemas de seguridad de datos híbridos
| 1 | Revise Control Hub para ver las alertas y corrija los elementos que encuentre allí. |
| 2 | Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbridos. |
| 3 | Comuníquese con el soporte de Cisco. |
Problemas conocidos de seguridad de datos híbridos
Si cierra su grupo de seguridad de datos híbridos (eliminándolo en Control Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos de almacén de claves, los usuarios de la aplicación Webex ya no podrán utilizar espacios de su lista de personas que se crearon con claves de su KMS. Esto se aplica tanto a implementaciones de prueba como de producción. Actualmente no tenemos una solución o solución para este problema y le instamos a que no cierre sus servicios de HDS una vez que estén administrando cuentas de usuario activas.
Un cliente que tiene una conexión del ECDH existente a un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora). Cuando un usuario se convierte en miembro de una prueba de seguridad de datos híbridos, el cliente del usuario continúa utilizando la conexión ECDH existente hasta que se agote el tiempo de espera. Como alternativa, el usuario puede cerrar sesión y volver a entrar en la aplicación Webex App para actualizar la ubicación con la que la aplicación se pone en contacto para las claves de cifrado.
El mismo comportamiento ocurre cuando mueve una prueba a producción para la organización. Todos los usuarios que no sean de prueba con conexiones del ECDH existentes a los servicios de seguridad de datos anteriores seguirán utilizándolos hasta que se renegocie la conexión del ECDH (a través del tiempo de espera o cerrando sesión y volviendo a entrar).
Usar OpenSSL para generar un archivo PKCS12
Antes de comenzar
OpenSSL es una herramienta que se puede utilizar para hacer el archivo PKCS12 en el formato adecuado para la carga en la herramienta de configuración de HDS. Hay otras formas de hacerlo, y no apoyamos ni promovemos de un modo a otro.
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarle a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda esos requisitos antes de continuar.
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y la documentación.
Cree una clave privada.
Inicie este procedimiento cuando reciba el certificado del servidor de su autoridad de certificación (CA).
| 1 | Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 | Muestre el certificado como texto y verifique los detalles.
|
| 3 | Utilice un editor de texto para crear un archivo de paquete de certificado llamado
|
| 4 | Cree el archivo .p12 con el nombre descriptivo
|
| 5 | Compruebe los detalles del certificado del servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Usará el hdsnode.p12 y la contraseña que ha establecido para él en Create a Configuration ISO for the HDS Hosts (Crear una ISO de configuración para los hosts HDS).
| Puede volver a utilizar estos archivos para solicitar un certificado nuevo cuando caduque el certificado original. |
Tráfico entre los nodos de HDS y la nube
Tráfico de recopilación de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas incluyen métricas del sistema para el montón máximo, el montón utilizado, la carga de la CPU y el recuento de subprocesos; métricas en hilos síncronos y asíncronos; métricas sobre alertas que impliquen un umbral de conexiones de cifrado, latencia o longitud de cola de solicitud; métricas en el almacén de datos; y métricas de conexiones de cifrado. Los nodos envían material de clave cifrada a través de un canal fuera de banda (separado del de solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
Solicitudes de cifrado de clientes, que son dirigidas por el servicio de cifrado
Actualizaciones al software del nodo
Configurar proxies de Squid para la seguridad de datos híbridos
Websocket no puede conectarse a través del proxy de Squid
Los proxies de Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websocket ( wss:) las conexiones que requiere la seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar varias versiones de Squid para ignorarlas wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue el on_unsupported_protocol directiva squid.conf:
on_unsupported_protocol tunnel allCalamar 3.5.27
Hemos probado con éxito la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube de Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
