- Inicio
- /
- Artículo
Gracias por sus comentarios.
Guía de implementación para la seguridad de datos híbrida multiinquilino (HDS) (Beta)
En este artículo
¿Comentarios?Información nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
13 de diciembre de 2024 |
Primera versión. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la Aplicación de Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 6.5 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 6.5. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
15 de enero de 2025 |
Se agregaron limitaciones de la seguridad de datos híbridos de varios inquilinos. |
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Limitaciones de la seguridad de datos híbridos de múltiples inquilinos
- Las organizaciones de los socios no deben tener activa ninguna implementación de HDS en Control Hub.
- Las organizaciones de inquilinos o clientes que deseen que un socio administre no deben tener ninguna implementación de HDS en Control Hub.
- Una vez que el socio implementa el HDS multiinquilino, todos los usuarios de las organizaciones del cliente, así como los usuarios de la organización del socio, comienzan a aprovechar el HDS multiinquilino para sus servicios de cifrado.
La organización del socio y las organizaciones del cliente que administran estarán en la misma implementación de HDS de varios inquilinos.
La organización del socio ya no utilizará el KMS en la nube después de implementar el HDS de varios inquilinos.
- No hay ningún mecanismo para devolver las claves al KMS en la nube después de una implementación de HDS.
- Actualmente, cada implementación de HDS de varios inquilinos puede tener solo un grupo con varios nodos debajo.
- Las funciones de administrador tienen ciertas limitaciones; consulte la siguiente sección para obtener detalles.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
30 de enero de 2025 |
Se agregó la versión 2022 de SQL Server a la lista de servidores SQL compatibles en Requisitos del servidor de base de datos. |
|
15 de enero de 2025 |
Se agregaron limitaciones de la seguridad de datos híbridos de varios inquilinos. |
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Limitaciones de la seguridad de datos híbridos de múltiples inquilinos
- Las organizaciones de los socios no deben tener activa ninguna implementación de HDS en Control Hub.
- Las organizaciones de inquilinos o clientes que deseen que un socio administre no deben tener ninguna implementación de HDS en Control Hub.
- Una vez que el socio implementa el HDS multiinquilino, todos los usuarios de las organizaciones del cliente, así como los usuarios de la organización del socio, comienzan a aprovechar el HDS multiinquilino para sus servicios de cifrado.
La organización del socio y las organizaciones del cliente que administran estarán en la misma implementación de HDS de varios inquilinos.
La organización del socio ya no utilizará el KMS en la nube después de implementar el HDS de varios inquilinos.
- No hay ningún mecanismo para devolver las claves al KMS en la nube después de una implementación de HDS.
- Actualmente, cada implementación de HDS de varios inquilinos puede tener solo un grupo con varios nodos debajo.
- Las funciones de administrador tienen ciertas limitaciones; consulte la siguiente sección para obtener detalles.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
30 de enero de 2025 |
Se agregó la versión 2022 de SQL Server a la lista de servidores SQL compatibles en Requisitos del servidor de base de datos. |
|
15 de enero de 2025 |
Se agregaron limitaciones de la seguridad de datos híbridos de varios inquilinos. |
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Limitaciones de la seguridad de datos híbridos de múltiples inquilinos
- Las organizaciones de los socios no deben tener activa ninguna implementación de HDS en Control Hub.
- Las organizaciones de inquilinos o clientes que deseen que un socio administre no deben tener ninguna implementación de HDS en Control Hub.
- Una vez que el socio implementa el HDS multiinquilino, todos los usuarios de las organizaciones del cliente, así como los usuarios de la organización del socio, comienzan a aprovechar el HDS multiinquilino para sus servicios de cifrado.
La organización del socio y las organizaciones del cliente que administran estarán en la misma implementación de HDS de varios inquilinos.
La organización del socio ya no utilizará el KMS en la nube después de implementar el HDS de varios inquilinos.
- No hay ningún mecanismo para devolver las claves al KMS en la nube después de una implementación de HDS.
- Actualmente, cada implementación de HDS de varios inquilinos puede tener solo un grupo con varios nodos debajo.
- Las funciones de administrador tienen ciertas limitaciones; consulte la siguiente sección para obtener detalles.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos utilizar un nombre que refleje su organización; por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, al omitir (no inspeccionar)
el tráfico a wbx2.comyciscospark.comse resolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, luego, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Ingrese la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
AGENTE GLOBAL_HTTP_PROXY_=http://SERVIDOR_IP:PUERTOProxy HTTPS sin autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://SERVIDOR_IP:PUERTOProxy HTTP con autenticación
AGENTE_GLOBAL_HTTP_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PUERTOProxy HTTPS con autenticación
AGENTE_GLOBAL_HTTPS_PROXY=http://NOMBRE DE USUARIO:CONTRASEÑA@SERVIDOR_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado de servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Use el editor de texto para crear un archivo de paquete de certificados denominado
|
| 4 |
Cree el archivo .p12 con el nombre
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones ofrecen orientación sobre cómo configurar diversas versiones de Squid para ignorar WSS: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregar la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol todos los túnelesSquid 3.5.27
Probamos correctamente la seguridad de los datos híbridos con las siguientes reglas añadidas a squid. conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
En esta tabla se cubren las nuevas características o funcionalidades, los cambios en el contenido existente y los errores importantes que se corrigieron en la Guía de implementación para la seguridad de datos híbridos para varios inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
4 de marzo de 2025 |
|
|
30 de enero de 2025 |
Se agregó la versión 2022 de SQL Server a la lista de servidores SQL compatibles en Requisitos del servidor de base de datos. |
|
15 de enero de 2025 |
Se agregaron Limitaciones de la seguridad de datos híbridos de varios inquilinos. |
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar archivos de instalación en la que se indica que hacer clic en Configurar en la tarjeta de HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se han actualizado los Requisitos del host virtual, el Flujo de tareas de implementación de la seguridad de datos híbridos y Instalar el archivo OVA del host HDS para mostrar el nuevo requisito de ESXi 7.0. |
|
13 de diciembre de 2024 |
Publicado por primera vez. |
Desactivar la seguridad de datos híbridos de varios inquilinos
Flujo de tareas de desactivación de HDS de varios inquilinos
Siga estos pasos para desactivar completamente el HDS de varios inquilinos.
Antes de comenzar
| 1 |
Elimine a todos los clientes de todos sus grupos, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar CMK de inquilinos eliminados de HDS. |
| 3 |
Elimine todos los nodos de todos sus grupos, como se menciona en Eliminar un nodo. |
| 4 |
Elimine todos sus grupos del concentrador de socios mediante uno de los siguientes dos métodos.
|
| 5 |
Haga clic en la ficha Configuración de la página de descripción general de seguridad de datos híbridos y haga clic en Desactivar HDS en la tarjeta de estado de HDS. |
Introducción a la seguridad de datos híbridos multiempresa
Descripción general de seguridad de datos híbridos para varios inquilinos
Desde el primer día, la seguridad de datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de la aplicación Webex que interactúan con el servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de la aplicación Webex obtienen el cifrado de extremo a extremo con claves dinámicas almacenadas en el KMS de la nube, en el dominio de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
La Seguridad de datos híbridos multiempresa permite a las organizaciones aprovechar HDS a través de un partner local de confianza, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite que la organización del socio tenga un control completo sobre la implementación y la administración de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones del cliente estén seguros del acceso externo. Las organizaciones asociadas configuran instancias de HDS y crean grupos de HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación regular de HDS, que se limita a una sola organización.
Esto también permite a las organizaciones más pequeñas aprovechar HDS, ya que el servicio de administración clave y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbridos multiempresa proporciona soberanía y control de los datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si el socio lo proporciona.
- Proporciona soporte para el contenido de reuniones, mensajería y llamadas.
El objetivo de este documento es ayudar a las organizaciones asociadas a configurar y administrar clientes en el marco de un sistema de seguridad de datos híbrida multiempresa.
Limitaciones de la seguridad de datos híbridos de múltiples inquilinos
- Las organizaciones de los socios no deben tener activa ninguna implementación de HDS en Control Hub.
- Las organizaciones de inquilinos o clientes que deseen que un socio administre no deben tener ninguna implementación de HDS en Control Hub.
- Una vez que el socio implementa el HDS multiinquilino, todos los usuarios de las organizaciones del cliente, así como los usuarios de la organización del socio, comienzan a aprovechar el HDS multiinquilino para sus servicios de cifrado.
La organización del socio y las organizaciones del cliente que administran estarán en la misma implementación de HDS de varios inquilinos.
La organización del socio ya no utilizará el KMS en la nube después de implementar el HDS de varios inquilinos.
- No hay ningún mecanismo para devolver las claves al KMS en la nube después de una implementación de HDS.
- Actualmente, cada implementación de HDS de varios inquilinos puede tener solo un grupo con varios nodos debajo.
- Las funciones de administrador tienen ciertas limitaciones; consulte la siguiente sección para obtener detalles.
Funciones en la seguridad de datos híbridos de varios inquilinos
- Administrador total de socios : puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios : puede administrar la configuración de los clientes que el administrador aprovisionó o que se han asignado al usuario.
- Administrador completo : administrador de la organización del socio que está autorizado para llevar a cabo tareas como modificar la configuración de la organización, administrar licencias y asignar funciones.
- Configuración de extremo a extremo de HDS de múltiples inquilinos y administración de todas las organizaciones de clientes : se requieren derechos de administrador total y administrador total de socios.
- Administración de organizaciones de inquilinos asignadas : se requieren derechos de administrador de socios y administrador total.
Arquitectura del dominio de seguridad
La arquitectura de la nube de Webex separa los diferentes tipos de servicios en dominios separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbridos, primero veamos este caso de nube pura, en el que Cisco proporciona todas las funciones en sus dominios de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa la seguridad de datos híbridos, mueve las funciones del dominio de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los otros servicios en la nube que componen Webex (incluido el almacenamiento de identidad y contenido) permanecen en los dominios de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden utilizar regularmente la aplicación de Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización es propietaria de la clave del espacio, su KMS enruta la solicitud a la nube de Webex a través de un canal de ECDH independiente para obtener la clave del KMS adecuado y, a continuación, devuelve la clave a su usuario en el canal original.
El servicio de KMS que se ejecuta en la organización A valida las conexiones con los KMS de otras organizaciones que utilizan certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre la generación de un certificado x.509 para usar con su implementación de Seguridad de datos híbridos de varios inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbridos requiere un compromiso significativo y una conciencia de los riesgos que conlleva la posesión de claves de cifrado.
Para implementar la seguridad de datos híbridos, debe proporcionar lo siguiente:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red que se describen en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbridos o de la base de datos que proporciona provocará la pérdida de las claves. La pérdida de claves evita que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación de Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación rápida de desastres si ocurre una catástrofe, como una falla en el disco de la base de datos o un desastre en el centro de datos.
No hay ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y la administración de una implementación de Seguridad de datos híbridos de múltiples inquilinos:
-
Configurar la seguridad de datos híbridos: esto incluye preparar la infraestructura necesaria e instalar el software de seguridad de datos híbridos, crear un grupo de HDS, agregar organizaciones de inquilinos al grupo y administrar sus claves principales del cliente (CMK). Esto permitirá a todos los usuarios de las organizaciones de sus clientes utilizar su grupo de seguridad de datos híbridos para las funciones de seguridad.
Las fases de configuración, activación y administración se tratan en detalle en los tres capítulos siguientes.
-
Mantenga su implementación de Seguridad de datos híbridos: la nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar las notificaciones en pantalla y configurar las alertas por correo electrónico en Partner Hub.
-
Comprenda alertas comunes, pasos para solucionar problemas y problemas conocidos: si tiene problemas para implementar o utilizar la seguridad de datos híbridos, el último capítulo de esta guía y el apéndice de problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa la seguridad de datos híbridos como un único grupo de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguros.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El grupo de seguridad de datos híbridos utiliza el servidor Syslogd proporcionado y la base de datos de PostgreSQL o Microsoft SQL Server. (Puede configurar los detalles de conexión de syslogd y base de datos en la herramienta de configuración de HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener varios nodos garantiza que el servicio no se interrumpa durante una mejora de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los inscribe en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de espera para la recuperación de desastres
Durante la implementación, usted configura un centro de datos de espera seguro. En el caso de un desastre del centro de datos, puede pasar manualmente su implementación al centro de datos de espera.
Las bases de datos de los centros de datos activos y de espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la recuperación de fallas.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activa.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy: el valor predeterminado si no utiliza la configuración del nodo de HDS Almacén de confianza y configuración del proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección: los nodos no están configurados para utilizar una dirección de servidor proxy específica y no deben requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Proxy de inspección o túnel transparente: los nodos no están configurados para utilizar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito: con el proxy explícito, puede indicar a los nodos de HDS qué servidor proxy y esquema de autenticación deben utilizar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
IP/FQDN de proxy: dirección que se puede utilizar para llegar al equipo proxy.
-
Puerto de proxy: número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo de proxy: según el soporte de su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación: elija entre los siguientes tipos de autenticación:
-
Ninguno: no se requiere ninguna otra autenticación.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básica: se utiliza para que un agente de usuarios HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Resumen: se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos de varios inquilinos
Requisitos de licencias de Cisco Webex
Para implementar la seguridad de datos híbridos de varios inquilinos:
-
Organizaciones asociadas: Póngase en contacto con su socio de Cisco o con su administrador de cuentas y asegúrese de que la característica de varios inquilinos esté habilitada.
-
Organizaciones de inquilinos: Debe tener el Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos del escritorio de Docker
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de configuración. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Los clientes sin una licencia de Docker Desktop pueden utilizar una herramienta de gestión de contenedores de código abierto como Podman Desktop para ejecutar, administrar y crear contenedores. Consulte Ejecutar la herramienta de configuración de HDS mediante el escritorio de Podman para obtener detalles.
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De manera predeterminada, confiamos en las CA de la lista de Mozilla (con la excepción de WoSign e StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo, El nombre común no debe contener un * (comodín). El nombre común se utiliza para verificar los nodos de seguridad de datos híbridos a los clientes de la aplicación de Webex. Todos los nodos de seguridad de datos híbridos de su grupo utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbridos en su grupo tienen los siguientes requisitos:
-
Al menos dos hosts separados (3 recomendados) ubicados en conjunto en el mismo centro de datos seguro
-
VMware ESXi 7.0 (o posterior) instalado y en ejecución.
Debe realizar una mejora si tiene una versión anterior de ESXi.
-
4 vCPU como mínimo, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de bases de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada una de ellas son los siguientes:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Actualmente, el software HDS instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Servidor de Microsoft SQL |
|---|---|
|
Controlador JDBC Postgres 42.2.5 |
Controlador SQL Server JDBC 4.6 Esta versión de controlador es compatible con SQL Server Always On (Instancias de clúster de conmutación por error Always On y Grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a la base de datos del almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos de HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos de HDS debe tener acceso de lectura/escritura a la base de datos.
-
Los servidores DNS que proporciona a los nodos de HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de la base de datos de HDS en su servidor de Microsoft SQL como nombre principal de servicio (SPN) en su Active Directory. Consulte Inscribir un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el lanzador de HDS y el KMS local deben usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN al solicitar acceso con la autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones de HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración de HDS |
TCP |
443 |
HTTPS de salida |
|
Los nodos de seguridad de datos híbridos funcionan con la traducción de acceso a la red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes necesarias a los destinos de dominio que se indican en la tabla anterior. En el caso de las conexiones entrantes a los nodos de Seguridad de datos híbridos, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, con fines administrativos.
Las URL para los hosts de Common Identity (CI) son específicas de la región. Estos son los organizadores de CI actuales:
|
Región |
URL del host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los proxies de squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:). Para solucionar este problema, consulte Configurar proxies de Squid para la seguridad de datos híbridos.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si se produce este problema, omitir (no inspeccionar) el tráfico hacia
wbx2.comyciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización de socio tenga habilitada la característica de HDS para varios inquilinos y obtenga las credenciales de una cuenta con derechos de administrador total y administrador total de socios. Asegúrese de que su organización del cliente de Webex esté habilitada para el Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones del cliente no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbridos en su grupo. Necesita al menos dos hosts separados (se recomienda 3) ubicados en conjunto en el mismo centro de datos seguro, que cumplan con los requisitos de Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como el almacén de datos clave para el clúster, de acuerdo con los requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en conjunto en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una recuperación rápida de desastres, configure un entorno de copia de seguridad en un centro de datos diferente. El entorno de copia de seguridad refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de copia de seguridad. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de copia de seguridad segura para los nodos de seguridad de datos híbridos, el servidor de base de datos y el host de syslog. Como mínimo, para evitar pérdidas de datos irrecuperables, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbridos. Dado que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y el descifrado del contenido, si no se mantiene una implementación operativa, se generará una PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan sus claves en caché, por lo que es posible que una interrupción no se advierta inmediatamente, pero se haga evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y que estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si se produce una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbridos como se indica en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración de HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbridos. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos del escritorio de Docker para obtener más información. Para instalar y ejecutar la herramienta de configuración de HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con la seguridad de datos híbridos, asegúrese de que cumpla con los requisitos de servidor proxy. |
Configurar un grupo de seguridad de datos híbridos
Flujo de tareas de implementación de la Seguridad de datos híbridos
| 1 |
Realizar la configuración inicial y descargar los archivos de instalación Descargue el archivo OVA en su equipo local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración de HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como los ajustes de red. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y establezca las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual a partir del archivo de configuración ISO que creó con la herramienta de configuración de HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere la configuración del proxy, especifique el tipo de proxy que utilizará para el nodo y, si es necesario, agregue el certificado del proxy al almacén de confianza. |
| 7 |
Inscribir el primer nodo del grupo Inscriba la máquina virtual en la nube de Cisco Webex como nodo de seguridad de datos híbridos. |
| 8 |
Complete la configuración del grupo. |
| 9 |
Active el HDS de varios inquilinos en el concentrador de socios. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realizar la configuración inicial y descargar los archivos de instalación
En esta tarea, puede descargar un archivo OVA en su máquina (no en los servidores que configuró como nodos de seguridad de datos híbridos). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y, luego, haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y, luego, haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software . Las versiones más antiguas del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbridos. Esto puede generar problemas al mejorar la aplicación. Asegúrese de descargar la versión más reciente del archivo OVA. También puede descargar el archivo OVA en cualquier momento desde la sección Ayuda . Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
También puede hacer clic en Ver guía de implementación de seguridad de datos híbridos para comprobar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si no tiene una licencia de Docker Desktop, puede utilizar Podman Desktop para ejecutar la herramienta de configuración de HDS para los pasos 1 a 5 en el siguiente procedimiento. Consulte Ejecutar la herramienta de configuración de HDS mediante el escritorio de Podman para obtener detalles.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importación de ISO , tiene estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumpla con los requisitos de Requisitos de certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos de claves: | ||||||||||
| 12 |
Seleccione un Modo de conexión a la base de datos TLS:
Cuando cargue el certificado raíz (si es necesario) y haga clic en Continuar, la Herramienta de configuración de HDS prueba la conexión de TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a diferencias de conectividad, es posible que los nodos HDS puedan establecer la conexión TLS incluso si la máquina de la Herramienta de configuración de HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de bases de datos en Configuración avanzada. Por lo general, este parámetro es el único que puede querer cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio . Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén a punto de caducar o quiera restablecerlas para invalidar los archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. | ||||||||||
| 18 |
Para apagar la Herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios en la configuración. Si pierde todas las copias del archivo ISO, también pierde la clave maestra. No es posible recuperar las claves de su base de datos de PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudar si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y, a continuación, haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y carpeta , introduzca un Nombre de la máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y, luego, haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso de cálculo , elija el recurso de cálculo de destino y, luego, haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez que finalice, aparecerán los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y, a continuación, haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración del recurso en la página Configuración , haga clic en 4 CPU y, luego, en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento , haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de VM. |
| 9 |
En la página Seleccionar redes , elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la máquina virtual. |
| 10 |
En la página Personalizar plantilla , configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de configuración de red y seguir los pasos que se indican en Configurar la VM de seguridad de datos híbridos para configurar los ajustes desde la consola del nodo. La opción para configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic con el botón derecho en la máquina virtual del nodo y, a continuación, elija . El software de seguridad de datos híbridos se instala como invitado en el host de máquina virtual. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión por primera vez en la consola de la máquina virtual del nodo de seguridad de datos híbridos y establecer las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar el archivo OVA del host de HDS, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración . |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse sobre la base de la "necesidad de conocerlo", para acceder a las máquinas virtuales de seguridad de datos híbridos y a los administradores que puedan necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar el archivo ISO de manera opcional después de que todos los nodos adopten los cambios de configuración. Consulte Desmontar ISO (opcional) después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy compatibles.
| 1 |
Introduzca la URL de configuración del nodo de HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Inscribir el primer nodo del grupo
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta de Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo , introduzca un nombre para el grupo al que desee asignar su nodo de seguridad de datos híbridos. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, introduzca la dirección IP interna o el nombre de dominio completamente calificado (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN deben coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbridos. Aparecerá un mensaje que le indica que puede inscribir su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos instantes, se lo redirigirá a las pruebas de conectividad del nodo para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que desea otorgar permisos a su organización de Webex para acceder a su nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta se valida y el mensaje "Inscripción completa" indica que su nodo ahora está inscrito en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la ficha para volver a la página de seguridad de datos híbridos de Partner Hub. En la página Seguridad de datos híbridos , en la ficha Recursos aparecerá el grupo nuevo que contiene el nodo que inscribió. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear e inscribir más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de elementos emergentes de su navegador estén desactivados o de que permita una excepción en admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del archivo OVA, repitiendo los pasos en Instalar el archivo OVA del host de HDS. |
| 2 |
Configure la configuración inicial en la nueva máquina virtual, repitiendo los pasos en Configurar la máquina virtual de seguridad de datos híbridos. |
| 3 |
En la máquina virtual nueva, repita los pasos de Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo de HDS para la integración de proxy según sea necesario para el nodo nuevo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbridos de varios inquilinos
Activar HDS de varios inquilinos en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su grupo de HDS de varios inquilinos con la cantidad necesaria de nodos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS . |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigne organizaciones del cliente a su grupo de seguridad de datos híbridos.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
Haga clic en el grupo al que desea que se asigne un cliente. |
| 5 |
Vaya a la ficha Clientes asignados . |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar; el cliente se agregará al grupo. |
| 9 |
Repita los pasos del 6 al 8 para agregar varios clientes a su grupo. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado a los clientes. |
Qué hacer a continuación
Crear claves principales del cliente (CMK) con la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al grupo adecuado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración de HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese de la conectividad a su base de datos para realizar la administración de CMK. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado de la tabla cambiará de Administración de CMK pendiente a Administración de CMK. |
| 13 |
Si la creación de CMK no tiene éxito, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones del cliente no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar las organizaciones de los clientes, comuníquese con su socio o gerente de cuenta de Cisco.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Ver todo. |
| 4 |
En la ficha Recursos , haga clic en el grupo del que desea eliminar las organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
En la lista de organizaciones del cliente que se muestra, haga clic en ... en el lado derecho de la organización del cliente que desea eliminar y haga clic en Eliminar del grupo. |
Qué hacer a continuación
Complete el proceso de eliminación mediante la revocación de las CMK de las organizaciones del cliente como se detalla en Revocar CMK de los inquilinos eliminados de HDS.
Revocar CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine a los clientes del grupo adecuado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración de HDS para completar el proceso de eliminación de las organizaciones del cliente que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no es compatible con la conexión a localhost a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para dirigirse al host local, La herramienta utiliza esta primera entrada del nombre de usuario para establecer el entorno adecuado para esa cuenta. Luego, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, introduzca sus credenciales de inicio de sesión de administrador de Partner Hub y, luego, haga clic en Conectar para permitir el acceso a los servicios requeridos para la seguridad de datos híbridos. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importación de ISO , haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la ficha Administración de CMK de inquilinos , donde encontrará las siguientes tres formas de administrar las CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de la Seguridad de datos híbridos
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de Seguridad de datos híbridos de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes de clave se pasen a su implementación de Seguridad de datos híbridos de varios inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación de Webex como uno de los usuarios de la organización del cliente y, a continuación, cree un espacio. Si desactiva la implementación de Seguridad de datos híbridos, el contenido de los espacios que los usuarios crean ya no es accesible una vez que se reemplazan las copias de las claves de cifrado almacenadas en caché por el cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Compruebe la salida de syslog para verificar que las solicitudes de clave se pasen a su implementación de seguridad de datos híbridos. |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Concentrador de socios, seleccione Servicios en el menú de la izquierda de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administrar su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas que se describen aquí para administrar su implementación de la Seguridad de datos híbridos.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbridos y haga clic en Configurar. |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el grupo. |
| 5 |
Haga clic en la ficha Configuración del grupo . |
| 6 |
En la página Configuración del grupo, en Planificación de la mejora, seleccione la hora y la zona horaria para la planificación de la mejora. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la mejora al día siguiente, si es necesario, haciendo clic en Posponer 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento suave: las contraseñas antiguas y nuevas funcionan durante un máximo de 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento forzado: las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador total de socios.
Si no tiene una licencia de Docker Desktop, puede utilizar Podman Desktop para ejecutar la herramienta de configuración de HDS para los pasos 1.a a 1.e en el siguiente procedimiento. Consulte Ejecutar la herramienta de configuración de HDS mediante el escritorio de Podman para obtener detalles.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando incorpore el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo de seguridad de datos híbridos y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (dirección IP/configuración, por ejemplo: https://192.0.2.0/setup), introduzca las credenciales de administrador que configuró para el nodo y, luego, haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la máquina virtual, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la máquina virtual para acceder a sus datos de seguridad. |
Recuperación de desastres mediante el centro de datos de modo de espera
El servicio más crítico que proporciona su grupo de seguridad de datos híbridos es la creación y el almacenamiento de claves que se utilizan para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario de la organización asignado a la seguridad de datos híbridos, las solicitudes de creación de nuevas claves se enrutan al grupo. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbridos o de la ISO de configuración utilizada para el esquema dará lugar a una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre hace que la implementación de HDS en el centro de datos primario no esté disponible, siga este procedimiento para realizar la conmutación por error manualmente al centro de datos de espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración de HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts de HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga segura la copia de seguridad. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso solo a los administradores de seguridad de datos híbridos que deben realizar cambios en la configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >Unidad de CD/DVD 1 y seleccione Archivo ISO del almacén de datos. Asegúrese de que las opciones Conectado y Conectar al encender estén marcadas para que los cambios de configuración actualizados puedan surtir efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Inscriba el nodo en el concentrador de socios. Consulte Inscribir el primer nodo del grupo. |
| 8 |
Repita el proceso para cada nodo en el centro de datos de espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar del HDS se ejecuta con el ISO montado. Sin embargo, algunos clientes prefieren no dejar archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos de HDS adopten la nueva configuración.
Sigue utilizando los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o la actualiza a través de la Herramienta de configuración, debe montar la ISO actualizada en todos los nodos de HDS. Una vez que todos sus nodos hayan aceptado los cambios de configuración, puede volver a desmontar la ISO con este procedimiento.
Antes de comenzar
Mejore todos sus nodos de HDS a la versión 2021.01.22.4720 o a una versión posterior.
| 1 |
Apague uno de sus nodos de HDS. |
| 2 |
En el dispositivo de servidor de vCenter, seleccione el nodo de HDS. |
| 3 |
Elija y desmarque la opción Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo de HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita para cada nodo de HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Se considera que una implementación de seguridad de datos híbridos no está disponible si todos los nodos del grupo son inaccesibles o si el grupo está funcionando tan despacio que se requiere tiempo de espera. Si los usuarios no pueden comunicarse con su grupo de seguridad de datos híbridos, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su grupo de seguridad de datos híbridos y envíe las alertas rápidamente para evitar interrupciones en el servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbridos, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Compruebe que los nodos puedan acceder a los servidores de Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Active HDS en el concentrador de socios. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no está completa para las organizaciones agregadas |
Complete la configuración mediante la creación de CMK para organizaciones de inquilinos recién agregadas mediante la herramienta de configuración de HDS. |
|
No se ha completado la configuración de la organización del inquilino para las organizaciones eliminadas |
Complete la configuración mediante la revocación de los CMK de las organizaciones de inquilinos que se eliminaron con la Herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Partner Hub para ver si hay alertas y corrija los elementos que encuentre allí. Consulte la siguiente imagen como referencia. |
| 2 |
Revise la salida del servidor syslog para ver si hay actividad de la implementación de seguridad de datos híbridos. Filtre palabras como “Advertencia” y “Error” para ayudar en la resolución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si cierra su grupo de seguridad de datos híbridos (al eliminarlo en el Concentrador de socios o al cerrar todos los nodos), pierde su archivo ISO de configuración, o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones del cliente ya no podrán utilizar los espacios de su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Ejecutar la herramienta de configuración de HDS con Podman Desktop
Podman es una herramienta de gestión de contenedores libre y de código abierto que proporciona una forma de ejecutar, gestionar y crear contenedores. Podman Desktop se puede descargar desde https://podman-desktop.io/downloads.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, descargue y ejecute Podman en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.
Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker cuando traiga el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios en la configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si tiene pensado cifrar conexiones de bases de datos, configure la implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de la Seguridad de datos híbridos crea un archivo ISO. Luego, utilice la ISO para configurar su host de seguridad de datos híbridos.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
Qué hacer a continuación
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si opta por utilizar OpenSSL, proporcionamos este procedimiento como pautas para ayudarlo a crear un archivo que cumpla con los requisitos de certificado X.509 en Requisitos de certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Utilice un editor de texto para crear un archivo de paquete de certificados llamado
|
| 4 |
Cree el archivo .p12 con el nombre descriptivo
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Vuelva a Completar los requisitos previos para la seguridad de datos híbridos. Utilizará el archivo hdsnode.p12 , y la contraseña que estableció para él, en Crear una configuración ISO para los hosts de HDS.
Puede volver a utilizar estos archivos para solicitar un nuevo certificado cuando caduque el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían determinadas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los proxies Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de las conexiones de websocket (wss:) que requiere la Seguridad de datos híbridos. Estas secciones proporcionan orientación sobre cómo configurar varias versiones de Squid para ignorar el wss: tráfico para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Agregue la on_unsupported_protocol directiva a squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Hemos probado correctamente la seguridad de datos híbridos con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 allInformación nueva y modificada
Información nueva y modificada
Esta tabla cubre nuevas características o funcionalidades, cambios al contenido existente y cualquier error importante que se haya corregido en la Guía de implementación para seguridad de datos híbrida de múltiples inquilinos.
|
Fecha |
Cambios realizados |
|---|---|
|
8 de mayo de 2025 |
|
| 4 de marzo de 2025 |
|
|
30 de enero de 2025 |
Se agregó la versión 2022 del servidor SQL a la lista de servidores SQL compatibles en Requisitos del servidor de base de datos. |
|
15 de enero de 2025 |
Se agregaron Limitaciones de la seguridad de datos híbridos de múltiples inquilinos. |
|
8 de enero de 2025 |
Se agregó una nota en Realizar la configuración inicial y descargar los archivos de instalación indicando que hacer clic en Configurar en la tarjeta HDS en Partner Hub es un paso importante del proceso de instalación. |
|
7 de enero de 2025 |
Se actualizaron Requisitos de host virtual, Flujo de tareas de implementación de seguridad de datos híbridae Instalar OVA de host HDS para mostrar los nuevos requisitos de ESXi 7.0. |
|
13 de diciembre de 2024 |
Primera publicación. |
Desactivar la seguridad de datos híbrida multiinquilino
Flujo de tareas de desactivación de HDS multiinquilino
Siga estos pasos para desactivar por completo Multi-Tenant HDS.
Antes de comenzar
| 1 |
Elimine todos los clientes de todos sus clústeres, como se menciona en Eliminar organizaciones de inquilinos. |
| 2 |
Revocar las CMK de todos los clientes, como se menciona en Revocar las CMK de los inquilinos eliminados de HDS.. |
| 3 |
Elimine todos los nodos de todos sus clústeres, como se menciona en Eliminar un nodo. |
| 4 |
Elimina todos tus clústeres de Partner Hub usando uno de los dos métodos siguientes.
|
| 5 |
Haga clic en la pestaña Configuración en la página de descripción general de Seguridad de datos híbrida y haga clic en Desactivar HDS en la tarjeta Estado de HDS. |
Comience a utilizar la seguridad de datos híbrida multiinquilino
Descripción general de la seguridad de datos híbrida multiinquilino
Desde el primer día, la seguridad de los datos ha sido el enfoque principal en el diseño de la aplicación Webex. La piedra angular de esta seguridad es el cifrado de contenido de extremo a extremo, habilitado por los clientes de Webex App que interactúan con el Servicio de administración de claves (KMS). El KMS es responsable de crear y administrar las claves criptográficas que utilizan los clientes para encriptar y desencriptar mensajes y archivos en forma dinámica.
De forma predeterminada, todos los clientes de Webex App obtienen cifrado de extremo a extremo con claves dinámicas almacenadas en la nube KMS, en el ámbito de seguridad de Cisco. La Seguridad de datos híbridos desplaza al KMS y a otras funciones relacionadas con la seguridad a su centro de datos empresarial, para que solo usted conserve las claves de su contenido cifrado.
Seguridad de datos híbrida para múltiples inquilinos permite a las organizaciones aprovechar HDS a través de un socio local confiable, que puede actuar como proveedor de servicios y administrar el cifrado local y otros servicios de seguridad. Esta configuración permite a la organización asociada tener control total sobre la implementación y gestión de claves de cifrado y garantiza que los datos de los usuarios de las organizaciones clientes estén protegidos contra el acceso externo. Las organizaciones asociadas configuran instancias HDS y crean clústeres HDS según sea necesario. Cada instancia puede admitir varias organizaciones de clientes, a diferencia de una implementación de HDS normal que está limitada a una sola organización.
Esto también permite que las organizaciones más pequeñas aprovechen HDS, ya que el servicio de administración de claves y la infraestructura de seguridad, como los centros de datos, son propiedad del socio local de confianza.
Cómo la seguridad de datos híbrida multiinquilino proporciona soberanía y control de datos
- El contenido generado por el usuario está protegido del acceso externo, como los proveedores de servicios en la nube.
- Los socios locales de confianza administran las claves de cifrado de los clientes con los que ya tienen una relación establecida.
- Opción de soporte técnico local, si lo proporciona el socio.
- Admite contenido de reuniones, mensajería y llamadas.
Este documento tiene como objetivo ayudar a las organizaciones asociadas a configurar y administrar clientes bajo un sistema de seguridad de datos híbrido de múltiples inquilinos.
Limitaciones de la seguridad de datos híbrida multiinquilino
- Las organizaciones asociadas no deben tener ninguna implementación de HDS existente activa en Control Hub.
- Las organizaciones de inquilinos o clientes que deseen ser administradas por un socio no deben tener ninguna implementación de HDS existente en Control Hub.
- Una vez que el socio implementa Multi-Tenant HDS, todos los usuarios de las organizaciones de clientes, así como los usuarios de la organización del socio, comienzan a aprovechar Multi-Tenant HDS para sus servicios de cifrado.
La organización asociada y las organizaciones de clientes que administran estarán en la misma implementación de HDS multiinquilino.
La organización asociada ya no utilizará KMS en la nube después de implementar HDS multiinquilino.
- No existe ningún mecanismo para devolver las claves a Cloud KMS después de una implementación de HDS.
- Actualmente, cada implementación de HDS multiinquilino solo puede tener un clúster, con múltiples nodos debajo de él.
- Los roles de administrador tienen ciertas limitaciones; consulte la sección a continuación para obtener más detalles.
Roles en la seguridad de datos híbrida multiinquilino
- Administrador completo del socio - Puede administrar la configuración de todos los clientes que administra el socio. También puede asignar funciones de administrador a los usuarios existentes en la organización y asignar clientes específicos para que los administren los administradores del socio.
- Administrador de socios - Puede administrar la configuración de los clientes que el administrador aprovisionó o que fueron asignados al usuario.
- Administrador completo : administrador de la organización asociada que está autorizado a realizar tareas como modificar la configuración de la organización, administrar licencias y asignar roles.
- Configuración y administración de HDS multiinquilino de extremo a extremo de todas las organizaciones de clientes. - Se requieren derechos de administrador total para el socio.
- Gestión de organizaciones de inquilinos asignadas - Se requieren derechos de administrador de socio y administrador completo.
Arquitectura del dominio de seguridad
La arquitectura de nube de Webex separa diferentes tipos de servicios en ámbitos separados, o dominios de confianza, como se muestra a continuación.
Para comprender mejor la seguridad de datos híbrida, veamos primero este caso de nube pura, donde Cisco proporciona todas las funciones en sus ámbitos de nube. El servicio de identidad, el único lugar donde los usuarios pueden correlacionarse directamente con su información personal, como dirección de correo electrónico, está separado lógica y físicamente del dominio de seguridad en el centro de datos B. Ambos, a su vez, están separados del dominio donde se almacena el contenido cifrado, en el centro de datos C.
En este diagrama, el cliente es la aplicación Webex que se ejecuta en la computadora portátil de un usuario y se ha autenticado con el servicio de identidad. Cuando el usuario redacta un mensaje para enviar a un espacio, se llevan a cabo los siguientes pasos:
-
El cliente establece una conexión segura con el servicio de administración de claves (KMS) y, luego, solicita una clave para cifrar el mensaje. La conexión segura usa ECDH, y el KMS cifra la clave mediante una clave maestra AES-256.
-
El mensaje se cifra antes de que el cliente lo envíe. El cliente lo envía al servicio de indexación, que crea índices de búsqueda cifrados para futuras búsquedas del contenido.
-
El mensaje cifrado se envía al servicio de cumplimiento para los controles de conformidad.
-
El mensaje cifrado se almacena en el dominio de almacenamiento.
Cuando implementa seguridad de datos híbrida, traslada las funciones del ámbito de seguridad (KMS, indexación y cumplimiento) a su centro de datos local. Los demás servicios en la nube que componen Webex (incluidos los de identidad y almacenamiento de contenido) siguen siendo competencia de Cisco.
Colaborar con otras organizaciones
Los usuarios de su organización pueden usar regularmente la aplicación Webex para colaborar con participantes externos de otras organizaciones. Cuando uno de sus usuarios solicita una clave para un espacio de su organización (debido a que uno de sus usuarios lo creó), su KMS envía la clave al cliente a través de un canal ECDH seguro. Sin embargo, cuando otra organización posee la clave del espacio, su KMS envía la solicitud a la nube de Webex a través de un canal ECDH separado para obtener la clave del KMS apropiado y luego devuelve la clave a su usuario en el canal original.
El servicio KMS que se ejecuta en la organización A valida las conexiones a los KMS en otras organizaciones mediante certificados PKI x.509. Consulte Preparar su entorno para obtener detalles sobre cómo generar un certificado x.509 para usar con su implementación de seguridad de datos híbrida de múltiples inquilinos.
Expectativas para la implementación de la seguridad de datos híbridos
Una implementación de seguridad de datos híbrida requiere un compromiso significativo y ser consciente de los riesgos que conlleva poseer claves de cifrado.
Para implementar la seguridad de datos híbrida, debe proporcionar:
-
Un centro de datos seguro en un país que sea una ubicación compatible con los planes de Cisco Webex Teams.
-
El equipo, el software y el acceso a la red descritos en Prepare su entorno.
La pérdida total de la configuración ISO que crea para la seguridad de datos híbrida o de la base de datos que proporciona dará como resultado la pérdida de las claves. La pérdida de clave impide que los usuarios descifren el contenido del espacio y otros datos cifrados en la aplicación Webex. Si esto sucede, puede desarrollar una nueva implementación, pero solo se podrá ver el contenido nuevo. Para evitar la pérdida de acceso a los datos, debe realizar lo siguiente:
-
Administre la copia de seguridad y la recuperación de la base de datos y del archivo ISO de configuración.
-
Esté preparado para realizar una recuperación ante desastres rápida si ocurre una catástrofe, como una falla del disco de la base de datos o un desastre en el centro de datos.
No existe ningún mecanismo para devolver las claves a la nube después de una implementación de HDS.
Proceso de configuración de alto nivel
Este documento cubre la configuración y administración de una implementación de seguridad de datos híbrida de múltiples inquilinos:
-
Configurar la seguridad de datos híbrida—Esto incluye preparar la infraestructura requerida e instalar el software de seguridad de datos híbrida, construir un clúster HDS, agregar organizaciones de inquilinos al clúster y administrar sus claves principales de cliente (CMK). Esto permitirá que todos los usuarios de sus organizaciones de clientes utilicen su clúster de seguridad de datos híbrida para funciones de seguridad.
Las fases de configuración, activación y gestión se tratan en detalle en los siguientes tres capítulos.
-
Mantenga su implementación de seguridad de datos híbrida—La nube de Webex proporciona automáticamente actualizaciones continuas. Su departamento de TI puede proporcionar soporte de nivel uno para esta implementación y puede contratar el soporte de Cisco en caso de que sea necesario. Puede utilizar notificaciones en pantalla y configurar alertas por correo electrónico en Partner Hub.
-
Comprenda las alertas comunes, los pasos para la solución de problemas y los problemas conocidos—Si tiene problemas al implementar o usar Hybrid Data Security, el último capítulo de esta guía y el apéndice Problemas conocidos pueden ayudarlo a determinar y solucionar el problema.
Modelo de implementación de la seguridad de datos híbridos.
Dentro de su centro de datos empresarial, implementa Hybrid Data Security como un único clúster de nodos en hosts virtuales separados. Los nodos se comunican con la nube de Webex a través de websockets seguros y HTTP seguro.
Durante el proceso de instalación, le brindamos el archivo OVA para configurar el dispositivo virtual en las máquinas virtuales que usted proporciona. Utiliza la Herramienta de configuración de HDS para crear un archivo ISO de configuración de grupo personalizado que monta en cada nodo. El clúster de seguridad de datos híbrido utiliza el servidor Syslogd proporcionado y la base de datos PostgreSQL o Microsoft SQL Server. (Configure los detalles de conexión de la base de datos y Syslogd en la herramienta de configuración HDS).
La cantidad mínima de nodos que puede tener en un grupo es dos. Recomendamos al menos tres por grupo. Tener múltiples nodos garantiza que el servicio no se interrumpa durante una actualización de software u otra actividad de mantenimiento en un nodo. (La nube de Webex solo actualiza un nodo a la vez).
Todos los nodos de un grupo acceden al mismo almacén de datos de claves y registran actividades en el mismo servidor syslog. Los nodos no tienen estado y gestionan solicitudes de clave en turnos rotativos, según lo instruye la nube.
Los nodos se activan cuando los registra en Partner Hub. Para poner un nodo individual fuera de servicio, puede cancelar su registro y volver a registrarlo en caso de ser necesario.
Centro de datos de reserva para recuperación ante desastres
Durante la implementación, se configura un centro de datos de reserva seguro. En caso de un desastre en el centro de datos, puede conmutar manualmente su implementación al centro de datos en espera.
Las bases de datos de los centros de datos activos y en espera están sincronizadas entre sí, lo que minimizará el tiempo necesario para realizar la conmutación por error.
Los nodos de seguridad de datos híbridos activos siempre deben estar en el mismo centro de datos que el servidor de base de datos activo.
Compatibilidad de proxy
La seguridad de datos híbridos admite los proxies explícitos, de inspección transparente y sin inspección. Puede vincular estos proxies a su implementación para poder proteger y supervisar el tráfico de la empresa a la nube. Puede utilizar una interfaz de administración de la plataforma en los nodos para administración de certificados y para verificar el estado general de conectividad después de configurar el proxy en los nodos.
Los nodos de seguridad de datos híbridos admiten las siguientes opciones de proxy:
-
Sin proxy—El valor predeterminado si no utiliza el almacén de confianza de configuración del nodo HDS & Configuración de proxy para integrar un proxy. No es necesaria la actualización del certificado.
-
Proxy transparente sin inspección—Los nodos no están configurados para usar una dirección de servidor proxy específica y no deberían requerir ningún cambio para funcionar con un proxy sin inspección. No es necesaria la actualización del certificado.
-
Túnel transparente o inspección de proxy—Los nodos no están configurados para usar una dirección de servidor proxy específica. No son necesarios cambios de configuración de HTTP o HTTPS en los nodos. Sin embargo, los nodos necesitan una certificado raíz para que confíen en el proxy. La inspección de proxies suele ser utilizada por ti para aplicar políticas en las que se pueden visitar sitios web y qué tipos de contenido no están permitidos. Este tipo de proxy descifra todo el tráfico (incluso HTTPS).
-
Proxy explícito—Con el proxy explícito, le indica a los nodos HDS qué servidor proxy y esquema de autenticación usar. Para configurar un Proxy explícito, debe introducir la siguiente información en cada nodo:
-
Apoderado IP/FQDN—Dirección que se puede utilizar para llegar a la máquina proxy.
-
Puerto proxy—Un número de puerto que el proxy utiliza para escuchar el tráfico proxy.
-
Protocolo proxy—Dependiendo de lo que admita su servidor proxy, elija entre los siguientes protocolos:
-
HTTP: permite ver y controlar todas las solicitudes que envía el cliente.
-
HTTPS: proporciona un canal al servidor. El cliente recibe y valida el certificado del servidor.
-
-
Tipo de autenticación—Elija entre los siguientes tipos de autenticación:
-
Ninguno—No se requiere autenticación adicional.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
-
Básico—Se utiliza para que un agente de usuario HTTP proporcione un nombre de usuario y una contraseña al realizar una solicitud. Utiliza la codificación Base64.
Disponible si selecciona HTTP o HTTPS como protocolo proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
Digest—Se utiliza para confirmar la cuenta antes de enviar información confidencial. Aplica una función hash al nombre de usuario y la contraseña antes de enviarla a través de la red.
Disponible solo si selecciona HTTPS como protocolo de proxy.
Requiere que ingrese la nombre de usuario y la contraseña en cada nodo.
-
-
Ejemplo de nodos de seguridad de datos híbridos y proxy
En este diagrama se muestra una conexión de ejemplo entre la seguridad de datos híbridos, la red y un proxy. En el caso de las opciones de proxy de inspección transparente y HTTPS Explicit, el mismo certificado raíz debe estar instalado en el proxy y en los nodos de seguridad de datos híbridos.
Modo de resolución de DNS externo bloqueado (configuraciones de Proxy explícito)
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. En implementaciones con configuraciones de proxy explícitas que no permiten la resolución de DNS externo para clientes internos, si el nodo no puede consultar los servidores DNS, se pone automáticamente en el modo de resolución de DNS externo bloqueado. En este modo, la inscripción de nodos y otras pruebas de conectividad de proxy pueden continuar.
Preparar su entorno
Requisitos para la seguridad de datos híbridos multiinquilino
Requisitos de la licencia de Cisco Webex
Para implementar la seguridad de datos híbrida multiinquilino:
-
Organizaciones asociadas: Comuníquese con su socio de Cisco o su administrador de cuentas y asegúrese de que la función Multi-Tenant esté habilitada.
-
Organizaciones de inquilinos: Debe tener Pro Pack para Cisco Webex Control Hub. (Consulte https://www.cisco.com/go/pro-pack).
Requisitos de Docker Desktop
Antes de instalar sus nodos HDS, necesita Docker Desktop para ejecutar un programa de instalación. Docker actualizó recientemente su modelo de licencias. Su organización puede requerir una suscripción paga para Docker Desktop. Para obtener más detalles, consulte la publicación en el blog de Docker: " Docker está actualizando y extendiendo nuestras suscripciones de productos".
Los clientes sin una licencia de Docker Desktop pueden usar una herramienta de administración de contenedores de código abierto como Podman Desktop para ejecutar, administrar y crear contenedores. Consulte Ejecutar la herramienta de configuración HDS usando Podman Desktop para obtener más detalles.
Requisitos del certificado X.509
La cadena de certificados debe cumplir con los siguientes requisitos:
|
Requisito |
Detalles |
|---|---|
|
De forma predeterminada, confiamos en las CA en la lista de Mozilla (con la excepción de WoSign y StartCom) en https://wiki.mozilla.org/CA:IncludedCAs. |
|
El nombre común no necesita ser accesible ni un organizador en vivo. Le recomendamos que utilice un nombre que refleje su organización, por ejemplo, El CN no debe contener una * (comodín). El CN se utiliza para verificar los nodos de seguridad de datos híbridos para los clientes de la aplicación Webex. Todos los nodos de seguridad de datos híbridos de su clúster utilizan el mismo certificado. Su KMS se identifica a sí mismo con el mismo dominio de nombre común, no con cualquier dominio que esté definido en los campos SAN de x.509v3. Una vez que haya registrado un nodo con este certificado, no admitiremos cambios en el nombre del dominio de nombre común. |
|
El software de KMS no admite las firmas SHA1 para validar las conexiones con los KMS de otras organizaciones. |
|
Puede usar un convertidor como OpenSSL para cambiar el formato de su certificado. Necesitará ingresar la contraseña cuando ejecute la Herramienta de configuración de HDS. |
El software de KMS no aplica limitaciones de uso de claves o uso de claves extendidas. Algunas autoridades de certificación requieren que se apliquen limitaciones de uso de claves extendidas en cada certificado, como la autenticación de servidor. Se puede usar la autenticación de servidor u otras configuraciones.
Requisitos del host virtual
Los hosts virtuales que configurará como nodos de seguridad de datos híbrida en su clúster tienen los siguientes requisitos:
-
Al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro
-
VMware ESXi 7.0 o 8.0 instalado y en ejecución.
Debes actualizar si tienes una versión anterior de ESXi.
-
Mínimo 4 vCPU, 8 GB de memoria principal, 30 GB de espacio en disco duro local por servidor
Requisitos del servidor de base de datos
Cree una nueva base de datos para el almacenamiento de claves. No utilice la base de datos predeterminada. Las aplicaciones HDS, cuando están instaladas, crean el esquema de la base de datos.
Hay dos opciones para el servidor de base de datos. Los requisitos para cada uno son los siguientes:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
|
|
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
Como mínimo 8 vCPU, 16 GB de memoria principal, suficiente espacio en el disco duro y monitoreo para asegurarse de que no se sobrepase (se recomienda 2 TB si desea ejecutar la base de datos durante mucho tiempo sin la necesidad de aumentar el almacenamiento) |
El software HDS actualmente instala las siguientes versiones de controlador para la comunicación con el servidor de base de datos:
|
PostgreSQL |
Microsoft SQL Server |
|---|---|
|
Controlador JDBC de Postgres 42.2.5 |
Controlador JDBC de SQL Server 4.6 Esta versión del controlador es compatible con SQL Server Always On ( instancias de clúster de conmutación por error Always On y grupos de disponibilidad Always On). |
Requisitos adicionales para la autenticación de Windows contra Microsoft SQL Server
Si desea que los nodos HDS utilicen la autenticación de Windows para obtener acceso a su base de datos de almacén de claves en Microsoft SQL Server, necesitará la siguiente configuración en su entorno:
-
Los nodos HDS, la infraestructura de Active Directory y MS SQL Server deben estar sincronizados con NTP.
-
La cuenta de Windows que proporcione a los nodos HDS debe tener read/write acceso a la base de datos.
-
Los servidores DNS que proporciona a los nodos HDS deben poder resolver su Centro de distribución de claves (KDC).
-
Puede registrar la instancia de base de datos HDS en su Microsoft SQL Server como un nombre principal de servicio (SPN) en su Active Directory. Consulte Registrar un nombre principal de servicio para conexiones Kerberos.
La herramienta de configuración de HDS, el iniciador de HDS y el KMS local necesitan usar la autenticación de Windows para acceder a la base de datos del almacén de claves. Utilizan los detalles de su configuración ISO para construir el SPN cuando solicitan acceso con autenticación Kerberos.
Requisitos de conectividad externa
Configure su firewall para permitir la siguiente conectividad para las aplicaciones HDS:
|
Aplicación |
Protocolo |
Puerto |
Dirección desde la aplicación |
Destino |
|---|---|---|---|---|
|
Nodos de seguridad de datos híbridos |
TCP |
443 |
Servidores HTTPS y WSS |
|
|
Herramienta de configuración HDS |
TCP |
443 |
HTTPS saliente |
|
Los nodos de seguridad de datos híbridos funcionan con traducción de acceso a red (NAT) o detrás de un firewall, siempre que el NAT o el firewall permitan las conexiones salientes requeridas a los destinos del dominio en la tabla anterior. Para las conexiones entrantes a los nodos de seguridad de datos híbrida, no debe haber puertos visibles desde Internet. Dentro de su centro de datos, los clientes necesitan acceso a los nodos de seguridad de datos híbridos en los puertos TCP 443 y 22, para fines administrativos.
Las URL de los hosts de identidad común (CI) son específicas de cada región. Estos son los hosts CI actuales:
|
Región |
URL de host de identidad común |
|---|---|
|
América |
|
|
Unión Europea |
|
|
Canadá |
|
| Singapur |
|
| Emiratos Árabes Unidos |
|
Requisitos del servidor proxy
-
Oficialmente admitimos las siguientes soluciones de proxy que se pueden integrar con sus nodos de seguridad de datos híbridos.
-
Proxy transparente: dispositivo de seguridad Web (WSA) de Cisco.
-
Proxy explícito: squid.
Los servidores proxy Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de websockets. (wss:) conexiones. Para solucionar este problema, consulte Configurar servidores proxy Squid para seguridad de datos híbrida.
-
-
Admitimos las siguientes combinaciones de tipos de autenticación para proxies explícitos:
-
Sin autenticación con HTTP o HTTPS
-
Autenticación básica con HTTP o HTTPS
-
Autenticación de compendio solo con HTTPS
-
-
Para un proxy de inspección transparente o un proxy HTTPS explícito, debe tener una copia de la certificado raíz del proxy. Las instrucciones de implementación de esta guía le indican cómo cargar la copia a los almacenes de confianza de los nodos de seguridad de datos híbridos.
-
La red que aloja los nodos de HDS debe configurarse para obligar al tráfico de TCP saliente en el puerto 443 a atravesar el proxy.
-
Los proxies que inspeccionen el tráfico web pueden interferir con las conexiones de socket Web. Si ocurre este problema, omitir (no inspeccionar) el tráfico a
wbx2.comyciscospark.comresolverá el problema.
Completar los requisitos previos para la seguridad de datos híbridos
| 1 |
Asegúrese de que su organización asociada tenga habilitada la función HDS multiinquilino y obtenga las credenciales de una cuenta con derechos de administrador completo y administrador completo de socio. Asegúrese de que su organización cliente de Webex esté habilitada para Pro Pack para Cisco Webex Control Hub. Comuníquese con su socio o gerente de cuentas de Cisco si necesita ayuda con este proceso. Las organizaciones clientes no deben tener ninguna implementación de HDS existente. |
| 2 |
Elija un nombre de dominio para su implementación de HDS (por ejemplo, |
| 3 |
Prepare hosts virtuales idénticos que configurará como nodos de seguridad de datos híbrida en su clúster. Necesita al menos dos hosts separados (se recomiendan 3) ubicados en el mismo centro de datos seguro, que cumplan con los requisitos en Requisitos de host virtual. |
| 4 |
Prepare el servidor de base de datos que actuará como almacén de datos clave para el clúster, de acuerdo con los Requisitos del servidor de base de datos. El servidor de base de datos debe estar ubicado en el centro de datos seguro con los hosts virtuales. |
| 5 |
Para una rápida recuperación ante desastres, configure un entorno de respaldo en un centro de datos diferente. El entorno de respaldo refleja el entorno de producción de las máquinas virtuales y un servidor de base de datos de respaldo. Por ejemplo, si la producción tiene 3 máquinas virtuales ejecutando nodos HDS, el entorno de respaldo debería tener 3 máquinas virtuales. |
| 6 |
Configure un host de syslog para recopilar registros de nodos en el grupo. Recopile su dirección de red y puerto de syslog (el predeterminado es UDP 514). |
| 7 |
Cree una política de respaldo segura para los nodos de seguridad de datos híbrida, el servidor de base de datos y el host syslog. Como mínimo, para evitar la pérdida irrecuperable de datos, debe realizar una copia de seguridad de la base de datos y del archivo ISO de configuración generado para los nodos de seguridad de datos híbrida. Debido a que los nodos de seguridad de datos híbridos almacenan las claves utilizadas en el cifrado y descifrado de contenido, si no se mantiene una implementación operativa se producirá la PÉRDIDA IRRECUPERABLE de ese contenido. Los clientes de la aplicación Webex almacenan en caché sus claves, por lo que una interrupción puede no notarse de inmediato, pero se hará evidente con el tiempo. Aunque los cortes de energía temporales son imposibles de prevenir, son recuperables. Sin embargo, la pérdida completa (sin copias de respaldo disponibles) del archivo ISO de configuración o la base de datos generará una pérdida irrecuperable de los datos del cliente. Se espera que los operadores de los nodos de seguridad de datos híbridos mantengan copias de seguridad frecuentes de la base de datos y del archivo ISO de configuración, y estén preparados para reconstruir el centro de datos de seguridad de datos híbridos si ocurre una falla catastrófica. |
| 8 |
Asegúrese de que la configuración de su firewall permita la conectividad para sus nodos de seguridad de datos híbrida como se describe en Requisitos de conectividad externa. |
| 9 |
Instale Docker ( https://www.docker.com) en cualquier máquina local que ejecute un sistema operativo compatible (Microsoft Windows 10 Professional o Enterprise de 64 bits, o Mac OSX Yosemite 10.10.3 o superior) con un navegador web que pueda acceder a él en http://127.0.0.1:8080. Utilice la instancia de Docker para descargar y ejecutar la herramienta de configuración HDS, que genera la información de configuración local para todos los nodos de seguridad de datos híbrida. Es posible que necesite una licencia de Docker Desktop. Consulte Requisitos de Docker Desktop para obtener más información. Para instalar y ejecutar la herramienta de configuración HDS, la máquina local debe tener la conectividad descrita en Requisitos de conectividad externa. |
| 10 |
Si está integrando un proxy con Hybrid Data Security, asegúrese de que cumpla con los Requisitos del servidor proxy. |
Configurar un clúster de seguridad de datos híbrido
Flujo de tareas de implementación de seguridad de datos híbrida
| 1 |
Realice la configuración inicial y descargue los archivos de instalación Descargue el archivo OVA a su máquina local para usarlo más tarde. |
| 2 |
Crear un archivo ISO de configuración para los hosts HDS Utilice la herramienta de configuración HDS para crear un archivo de configuración ISO para los nodos de seguridad de datos híbridos. |
| 3 |
Cree una máquina virtual a partir del archivo OVA y realice la configuración inicial, como la configuración de red. La opción de configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0 y 8.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 4 |
Configurar la máquina virtual de Seguridad de datos híbridos Inicie sesión en la consola de la máquina virtual y configure las credenciales de inicio de sesión. Configure los ajustes de red para el nodo si no los configuró en el momento de la implementación de OVA. |
| 5 |
Cargar y montar el archivo ISO de configuración de HDS Configure la máquina virtual desde el archivo de configuración ISO que creó con la herramienta de configuración HDS. |
| 6 |
Configurar el nodo de HDS para la integración de proxy Si el entorno de red requiere configuración de proxy, especifique el tipo de proxy que utilizará para el nodo y agregue el certificado de proxy al almacén de confianza si es necesario. |
| 7 |
Registrar el primer nodo en el clúster Registre la VM con la nube de Cisco Webex como un nodo de seguridad de datos híbrido. |
| 8 |
Complete la configuración del clúster. |
| 9 |
Activar HDS multiinquilino en Partner Hub. Active HDS y administre las organizaciones de inquilinos en Partner Hub. |
Realice la configuración inicial y descargue los archivos de instalación
En esta tarea, descarga un archivo OVA a tu máquina (no a los servidores que configuras como nodos de seguridad de datos híbrida). Utilizará este archivo más adelante en el proceso de instalación.
| 1 |
Inicie sesión en Partner Hub y haga clic en Servicios. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta Seguridad de datos híbrida y haga clic en Configurar. Hacer clic en Configurar en Partner Hub es fundamental para el proceso de implementación. No continúe con la instalación sin completar este paso. |
| 3 |
Haga clic en Agregar un recurso y haga clic en Descargar archivo .OVA en la tarjeta Instalar y configurar software. Las versiones anteriores del paquete de software (OVA) no serán compatibles con las últimas actualizaciones de seguridad de datos híbrida. Esto puede ocasionar problemas al actualizar la aplicación. Asegúrese de descargar la última versión del archivo OVA. También puedes descargar el OVA en cualquier momento desde la sección Ayuda. Haga clic en . El archivo OVA se descarga automáticamente. Guarde el archivo en alguna ubicación de su máquina local.
|
| 4 |
Opcionalmente, haga clic en Ver la guía de implementación de seguridad de datos híbrida para verificar si hay una versión posterior de esta guía disponible. |
Crear un archivo ISO de configuración para los hosts HDS
El proceso de configuración de seguridad de datos híbrida crea un archivo ISO. Luego usa la ISO para configurar tu host de seguridad de datos híbrido.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si no tiene una licencia de Docker Desktop, puede usar Podman Desktop para ejecutar la herramienta de configuración HDS para los pasos 1 a 5 del procedimiento a continuación. Consulte Ejecutar la herramienta de configuración HDS usando Podman Desktop para obtener más detalles.
Si la herramienta de configuración HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al activar el contenedor de Docker en el paso 5 a continuación. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios de configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si planea cifrar conexiones de bases de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. | ||||||||||
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: | ||||||||||
| 3 |
En el aviso de contraseña, introduzca este código hash: | ||||||||||
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: | ||||||||||
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". | ||||||||||
| 6 |
La herramienta de configuración no admite la conexión al host local a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para ir al host local, La herramienta utiliza esta primera entrada del nombre de usuario para configurar el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. | ||||||||||
| 7 |
Cuando se le solicite, ingrese sus credenciales de inicio de sesión de administrador de Partner Hub y luego haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbrida. | ||||||||||
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. | ||||||||||
| 9 |
En la página Importar ISO, tienes estas opciones:
| ||||||||||
| 10 |
Compruebe que su certificado X.509 cumple con los requisitos en Requisitos del certificado X.509.
| ||||||||||
| 11 |
Introduzca la dirección de la base de datos y la cuenta para que HDS acceda a su almacén de datos clave: | ||||||||||
| 12 |
Seleccione un Modo de conexión de base de datos TLS:
Cuando carga el certificado raíz (si es necesario) y hace clic en Continuar, la herramienta de configuración HDS prueba la conexión TLS al servidor de base de datos. La herramienta también verifica el firmante del certificado y el nombre de host, si corresponde. Si falla una prueba, la herramienta muestra un mensaje de error que describe el problema. Puede optar por ignorar el error y continuar con la configuración. (Debido a las diferencias de conectividad, los nodos HDS podrían establecer la conexión TLS incluso si la máquina de la herramienta de configuración HDS no puede probarla con éxito). | ||||||||||
| 13 |
En la página Registros del sistema, configure su servidor Syslogd: | ||||||||||
| 14 |
(Opcional) Puede cambiar el valor predeterminado para algunos parámetros de conexión de base de datos en Configuración avanzada. Generalmente, este parámetro es el único que quizás quieras cambiar: | ||||||||||
| 15 |
Haga clic en Continuar en la pantalla Restablecer contraseña de cuentas de servicio. Las contraseñas de las cuentas de servicio tienen una vida útil de nueve meses. Utilice esta pantalla cuando sus contraseñas estén cerca de caducar o desee restablecerlas para invalidar archivos ISO anteriores. | ||||||||||
| 16 |
Haga clic en Descargar archivo ISO. Guarde el archivo en una ubicación que sea fácil de encontrar. | ||||||||||
| 17 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso únicamente a aquellos administradores de seguridad de datos híbridos que deban realizar cambios de configuración. | ||||||||||
| 18 |
Para cerrar la herramienta de configuración, escriba |
Qué hacer a continuación
Realice una copia de seguridad del archivo ISO de configuración. Lo necesita para crear más nodos para la recuperación o para realizar cambios de configuración. Si pierde todas las copias del archivo ISO, también perderá la clave maestra. No es posible recuperar las claves de su base de datos PostgreSQL o Microsoft SQL Server.
Nunca tenemos una copia de esta clave y no podemos ayudarle si la pierde.
Instalar el OVA del host HDS
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi. |
| 2 |
Seleccione Archivo > Implementar plantilla OVF. |
| 3 |
En el asistente, especifique la ubicación del archivo OVA que descargó anteriormente y luego haga clic en Siguiente. |
| 4 |
En la página Seleccionar un nombre y una carpeta, ingrese un Nombre de máquina virtual para el nodo (por ejemplo, "HDS_Node_1"), elija una ubicación donde pueda residir la implementación del nodo de la máquina virtual y luego haga clic en Siguiente. |
| 5 |
En la página Seleccionar un recurso computacional, elija el recurso computacional de destino y luego haga clic en Siguiente. Se ejecuta una comprobación de validación. Una vez finalizado, aparecen los detalles de la plantilla. |
| 6 |
Verifique los detalles de la plantilla y luego haga clic en Siguiente. |
| 7 |
Si se le solicita que elija la configuración de recursos en la página Configuración, haga clic en 4 CPU y luego haga clic en Siguiente. |
| 8 |
En la página Seleccionar almacenamiento, haga clic en Siguiente para aceptar el formato de disco predeterminado y la política de almacenamiento de la máquina virtual. |
| 9 |
En la página Seleccionar redes, elija la opción de red de la lista de entradas para proporcionar la conectividad deseada a la VM. |
| 10 |
En la página Personalizar plantilla, configure los siguientes ajustes de red:
Si lo prefiere, puede omitir la configuración de la red y seguir los pasos en Configurar la VM de seguridad de datos híbrida para configurar los ajustes desde la consola del nodo. La opción de configurar los ajustes de red durante la implementación de OVA se ha probado con ESXi 7.0 y 8.0. Es posible que la opción no esté disponible en versiones anteriores. |
| 11 |
Haga clic derecho en el nodo VM y luego seleccione . El software Hybrid Data Security se instala como invitado en el host de VM. Ahora está listo para iniciar sesión en la consola y configurar el nodo. Sugerencias para la solución de problemas Es posible que haya una demora de algunos minutos hasta que se enciendan los contenedores de nodos. Aparecerá un mensaje de firewall de puente en la consola durante la primera operación de arranque, en ese lapso no podrá iniciar sesión. |
Configurar la máquina virtual de Seguridad de datos híbridos
Utilice este procedimiento para iniciar sesión en la consola de VM del nodo Hybrid Data Security por primera vez y configurar las credenciales de inicio de sesión. También puede utilizar la consola para configurar los ajustes de red del nodo si no los configuró en el momento de la implementación de OVA.
| 1 |
En el cliente VMware vSphere, seleccione la máquina virtual de su nodo de Seguridad de datos híbridos y seleccione la ficha Consola. La máquina virtual arranca y aparece un mensaje para conectarse. Si no aparece el mensaje para iniciar sesión, presione Intro.
|
| 2 |
Utilice la siguiente combinación predeterminada de nombre de usuario y contraseña para iniciar sesión y cambiar las credenciales: Como está iniciando sesión en su máquina virtual por primera vez, tendrá que cambiar la contraseña de administrador. |
| 3 |
Si ya configuró los ajustes de red en Instalar HDS Host OVA, omita el resto de este procedimiento. De lo contrario, en el menú principal, seleccione la opción Editar configuración. |
| 4 |
Establezca una configuración estática con información de DNS, gateway, máscara y dirección IP. Su nodo debería tener una dirección IP interna y un nombre DNS. No se admite DHCP. |
| 5 |
(Opcional) Cambie el nombre de host, el dominio o los servidores NTP, si es necesario, para concordar con la política de red. No necesita configurar el dominio para que coincida con el dominio que utilizó para obtener el certificado X.509. |
| 6 |
Guarde la configuración de red y reinicie la máquina virtual para que los cambios entren en vigor. |
Cargar y montar el archivo ISO de configuración de HDS
Antes de comenzar
Debido a que el archivo ISO contiene la clave maestra, solo debe exponerse cuando sea necesario, para que puedan acceder a él las máquinas virtuales de seguridad de datos híbrida y cualquier administrador que pueda necesitar realizar cambios. Asegúrese de que solo esos administradores puedan acceder al almacén de datos.
| 1 |
Cargue el archivo ISO de su computadora. |
| 2 |
Monte el archivo ISO: |
Qué hacer a continuación
Si su política de TI lo requiere, puede desmontar opcionalmente el archivo ISO después de que todos sus nodos adopten los cambios de configuración. Consulte (Opcional) Desmontar ISO después de la configuración de HDS para obtener más detalles.
Configurar el nodo de HDS para la integración de proxy
Si el entorno de red requiere un proxy, utilice este procedimiento para especificar el tipo de proxy que desea integrar con la seguridad de datos híbridos. Si selecciona un proxy de inspección transparente o un proxy de HTTPS explícito, puede utilizar la interfaz del nodo para cargar e instalar el certificado raíz. También puede verificar la conexión de proxy desde la interfaz y solucionar cualquier posible problema.
Antes de comenzar
-
Consulte Compatibilidad con proxy para obtener una descripción general de las opciones de proxy admitidas.
| 1 |
Ingrese la URL de configuración del nodo HDS |
| 2 |
Seleccione Trust Store & proxyy, a continuación, elija una opción:
Siga los siguientes pasos para un proxy de inspección transparente, un Proxy explícito HTTP con autenticación básica o un proxy HTTPS explícito. |
| 3 |
Haga clic en cargar un certificado raíz o un certificado de entidad finaly, a continuación, diríjase a seleccionar el certificado raíz para el proxy. El certificado se carga, pero aún no se ha instalado porque debe reiniciar el nodo para instalar el certificado. Haga clic en la flecha de cheurón por el nombre del emisor del certificado para obtener más detalles o haga clic en eliminar si cometió un error y desea volver a cargar el archivo. |
| 4 |
Haga clic en verificar conexión de proxy para probar la conectividad de red entre el nodo y el proxy. Si falla la prueba de conexión, verá un mensaje de error que muestra el motivo y la forma en la que puede solucionar el problema. Si ve un mensaje que indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS. Esta condición se espera en muchas configuraciones de proxy explícitas. Puede continuar con la configuración; el nodo funcionará en el modo de resolución de DNS externo bloqueado. Si cree que se trata de un error, complete estos pasos y luego consulte Desactivar el modo de resolución de DNS externo bloqueado. |
| 5 |
Después de que la prueba de conexión se haya superado, para que el Proxy explícito se establezca solo en https, active la opción de alternancia para enrutar todas las solicitudes HTTPS del puerto 443/444 desde este nodo a través del Proxy explícito. Esta configuración requiere 15 segundos para que se apliquen. |
| 6 |
Haga clic en instalar todos los certificados en el almacén de confianza (aparece para un proxy HTTPS explícito o un proxy de inspección transparente) o reinicie (aparece para un Proxy explícito http), lea el mensaje y, a continuación, haga clic en instalar si está listo. El nodo se reinicia en unos minutos. |
| 7 |
Después de que se reinicie el nodo, vuelva a iniciar sesión si es necesario y, a continuación, abra la Página de Descripción general para verificar las comprobaciones de conectividad y asegurarse de que todos estén en estado verde. La comprobación de conexión de proxy solo prueba un subdominio de webex.com. Si hay problemas de conectividad, un problema común es que algunos de los dominios de la nube enumerados en las instrucciones de instalación están siendo bloqueados en el proxy. |
Registrar el primer nodo en el cluster
Cuando inscriba su primer nodo, creará un grupo para asignar el nodo. Un grupo contiene uno o más nodos implementados para proporcionar redundancia.
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de ventanas emergentes en su navegador estén deshabilitados o de que permita una excepción para admin.webex.com.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque la tarjeta Seguridad de datos híbrida y haga clic en Configurar. |
| 4 |
En la página que se abre, haga clic en Agregar un recurso. |
| 5 |
En el primer campo de la tarjeta Agregar un nodo, ingrese un nombre para el clúster al que desea asignar su nodo de seguridad de datos híbrida. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 6 |
En el segundo campo, ingrese la dirección IP interna o el nombre de dominio completo (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbrida. Aparece un mensaje que indica que puede registrar su nodo en Webex.
|
| 7 |
Haga clic en Ir al nodo. Después de unos momentos, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que deseas otorgar permisos a tu organización de Webex para acceder a tu nodo. |
| 8 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta está validada y el mensaje "Registro completo" indica que su nodo ahora está registrado en la nube de Webex.
|
| 9 |
Haga clic en el enlace o cierre la pestaña para volver a la página de Seguridad de datos híbridos del Centro de socios. En la página Seguridad de datos híbridos, el nuevo clúster que contiene el nodo que registró se muestra en la pestaña Recursos. El nodo descargará automáticamente la última versión del software de la nube.
|
Crear y registrar más nodos
Antes de comenzar
-
Una vez que comience la inscripción de un nodo, deberá completarlo en un plazo máximo de 60 minutos; de lo contrario, tendrá que volver a iniciar la operación.
-
Asegúrese de que todos los bloqueadores de ventanas emergentes en su navegador estén deshabilitados o de que permita una excepción para admin.webex.com.
| 1 |
Cree una nueva máquina virtual a partir del OVA, repitiendo los pasos en Instalar el OVA del host HDS. |
| 2 |
Configure la configuración inicial en la nueva VM, repitiendo los pasos en Configurar la VM de seguridad de datos híbrida. |
| 3 |
En la nueva máquina virtual, repita los pasos en Cargar y montar la ISO de configuración de HDS. |
| 4 |
Si está configurando un proxy para su implementación, repita los pasos en Configurar el nodo HDS para la integración de proxy según sea necesario para el nuevo nodo. |
| 5 |
Registre el nodo. |
Administrar organizaciones de inquilinos en la seguridad de datos híbrida multiinquilino
Activar HDS multiinquilino en Partner Hub
Esta tarea garantiza que todos los usuarios de las organizaciones del cliente puedan comenzar a aprovechar HDS para obtener claves de cifrado locales y otros servicios de seguridad.
Antes de comenzar
Asegúrese de haber completado la configuración de su clúster HDS multiinquilino con la cantidad de nodos requerida.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbrida y haga clic en Editar configuración. |
| 4 |
Haga clic en Activar HDS en la tarjeta Estado de HDS. |
Agregar organizaciones de inquilinos en Partner Hub
En esta tarea, asigna organizaciones de clientes a tu clúster de seguridad de datos híbrido.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbrida y haga clic en Ver todo. |
| 4 |
Haga clic en el clúster al que desea asignar un cliente. |
| 5 |
Vaya a la pestaña Clientes asignados. |
| 6 |
Haga clic en Agregar clientes. |
| 7 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 8 |
Haga clic en Agregar, el cliente se agregará al clúster. |
| 9 |
Repita los pasos 6 a 8 para agregar varios clientes a su clúster. |
| 10 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado los clientes. |
Qué hacer a continuación
Cree claves principales de cliente (CMK) mediante la herramienta de configuración de HDS
Antes de comenzar
Asigne clientes al clúster apropiado como se detalla en Agregar organizaciones de inquilinos en Partner Hub. Ejecute la herramienta de configuración HDS para completar el proceso de configuración para las organizaciones de clientes recién agregadas.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al activar el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios de configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si planea cifrar conexiones de bases de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de seguridad de datos híbrida crea un archivo ISO. Luego usa la ISO para configurar tu host de seguridad de datos híbrido.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no admite la conexión al host local a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para ir al host local, La herramienta utiliza esta primera entrada del nombre de usuario para configurar el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, ingrese sus credenciales de inicio de sesión de administrador de Partner Hub y luego haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbrida. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importar ISO, haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. Asegúrese la conectividad a su base de datos para realizar la gestión de CMK. |
| 11 |
Vaya a la pestaña Administración de CMK de inquilinos, donde encontrará las siguientes tres formas de administrar CMK de inquilinos.
|
| 12 |
Una vez que la creación de CMK sea exitosa, el estado en la tabla cambiará de CMK pendiente de administración a CMK administrado. |
| 13 |
Si la creación de CMK no es exitosa, se mostrará un error. |
Eliminar organizaciones de inquilinos
Antes de comenzar
Una vez eliminado, los usuarios de las organizaciones de clientes no podrán aprovechar HDS para sus necesidades de cifrado y perderán todos los espacios existentes. Antes de eliminar organizaciones de clientes, comuníquese con su socio de Cisco o su gerente de cuentas.
| 1 |
Inicie sesión en https://admin.webex.com. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbrida y haga clic en Ver todo. |
| 4 |
En la pestaña Recursos, haga clic en el clúster del cual desea eliminar organizaciones de clientes. |
| 5 |
En la página que se abre, haga clic en Clientes asignados. |
| 6 |
De la lista de organizaciones de clientes que se muestran, haga clic en ... en el lado derecho de la organización de clientes que desea eliminar y haga clic en Eliminar del clúster. |
Qué hacer a continuación
Complete el proceso de eliminación revocando las CMK de las organizaciones de clientes como se detalla en Revocar las CMK de los inquilinos eliminados de HDS.
Revocar los CMK de los inquilinos eliminados de HDS.
Antes de comenzar
Elimine clientes del clúster apropiado como se detalla en Eliminar organizaciones de inquilinos. Ejecute la herramienta de configuración HDS para completar el proceso de eliminación de las organizaciones de clientes que se eliminaron.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos para su organización.
Si la herramienta de configuración HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al activar el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios de configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si planea cifrar conexiones de bases de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de seguridad de datos híbrida crea un archivo ISO. Luego usa la ISO para configurar tu host de seguridad de datos híbrido.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
| 6 |
La herramienta de configuración no admite la conexión al host local a través de http://localhost:8080. Utilice http://127.0.0.1:8080 para conectarse al host local. Utilice un navegador web para ir al host local, La herramienta utiliza esta primera entrada del nombre de usuario para configurar el entorno adecuado para esa cuenta. A continuación, la herramienta muestra el mensaje de inicio de sesión estándar. |
| 7 |
Cuando se le solicite, ingrese sus credenciales de inicio de sesión de administrador de Partner Hub y luego haga clic en Iniciar sesión para permitir el acceso a los servicios necesarios para la seguridad de datos híbrida. |
| 8 |
En la página de descripción general de la Herramienta de configuración, haga clic en Comenzar. |
| 9 |
En la página Importar ISO, haga clic en Sí. |
| 10 |
Seleccione su archivo ISO en el navegador y cárguelo. |
| 11 |
Vaya a la pestaña Administración de CMK de inquilinos, donde encontrará las siguientes tres formas de administrar CMK de inquilinos.
|
| 12 |
Una vez que la revocación de CMK sea exitosa, la organización del cliente ya no aparecerá en la tabla. |
| 13 |
Si la revocación de CMK no tiene éxito, se mostrará un error. |
Pruebe su implementación de seguridad de datos híbrida
Pruebe su implementación de seguridad de datos híbridos
Antes de comenzar
-
Configure su implementación de seguridad de datos híbrida de múltiples inquilinos.
-
Asegúrese de tener acceso al syslog para verificar que las solicitudes clave pasen a su implementación de seguridad de datos híbrida de múltiples inquilinos.
| 1 |
Las claves para un determinado espacio son configuradas por el creador del espacio. Inicie sesión en la aplicación Webex como uno de los usuarios de la organización del cliente y luego cree un espacio. Si desactiva la implementación de seguridad de datos híbrida, el contenido de los espacios que crean los usuarios ya no será accesible una vez que se reemplacen las copias de las claves de cifrado almacenadas en caché del cliente. |
| 2 |
Envíe mensajes al espacio nuevo. |
| 3 |
Verifique la salida del syslog para verificar que las solicitudes de claves pasen a su implementación de seguridad de datos híbrida. Si un usuario de una organización de cliente recientemente agregada realiza alguna acción, el ID de organización de la organización aparecerá en los registros, y esto se puede usar para verificar que la organización está aprovechando Multi-Tenant HDS. Verifique el valor de |
Monitorear el estado de seguridad de datos híbridos
| 1 |
En Partner Hub, seleccione Servicios en el menú del lado izquierdo de la pantalla. |
| 2 |
En la sección Servicios en la nube, busque Seguridad de datos híbrida y haga clic en Editar configuración. Aparecerá la página de configuración para la seguridad de datos híbridos.
|
| 3 |
En la sección Notificaciones por correo electrónico, escriba una o más direcciones de correo electrónico separadas por comas y presione Intro. |
Administre su implementación de HDS
Administrar implementaciones de HDS
Utilice las tareas descritas aquí para administrar su implementación de seguridad de datos híbrida.
Definir planificación para mejorar grupos
Para definir la planificación para mejorar grupos:
| 1 |
Inicie sesión en el Concentrador de socios. |
| 2 |
En el menú del lado izquierdo de la pantalla, seleccione Servicios. |
| 3 |
En la sección Servicios en la nube, busque Seguridad de datos híbrida y haga clic en Configurar |
| 4 |
En la página Recursos de seguridad de datos híbridos, seleccione el clúster. |
| 5 |
Haga clic en la pestaña Configuración del clúster. |
| 6 |
En la página Configuración del clúster, en Programación de actualización, seleccione la hora y la zona horaria para la programación de actualización. Nota: En la zona horaria, verá la próxima fecha y hora de mejora disponible. Puede posponer la actualización hasta el día siguiente, si es necesario, haciendo clic en Posponer por 24 horas. |
Cambiar la configuración del nodo
-
Cambiar certificados x.509 debido a su caducidad u otros motivos.
No se admite el cambio del nombre de dominio de nombre común de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el grupo.
-
Actualizando la configuración de la base de datos para cambiar una réplica de la base de datos PostgreSQL o Microsoft SQL Server.
No se admite la migración de datos de PostgreSQL a Microsoft SQL Server, ni al contrario. Para cambiar el entorno de la base de datos, inicie una implementación nueva de Seguridad de datos híbridos.
-
Crear una configuración nueva para preparar un nuevo centro de datos.
Además, por motivos de seguridad, la Seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de nueve meses. Luego de que la Herramienta de configuración de HDS genere estas contraseñas, usted las implementa en cada uno de sus nodos de HDS en el archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, usted recibe una notificación del equipo de Webex para restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto: "Utilice la API de cuentas de máquina para actualizar la contraseña"). Si sus contraseñas todavía no han caducado, la herramienta le ofrece dos opciones:
-
Restablecimiento parcial—Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar gradualmente el archivo ISO en los nodos.
-
Restablecimiento completo—Las contraseñas antiguas dejan de funcionar inmediatamente.
Si sus contraseñas caducan sin un restablecimiento, afecta su servicio de HDS, lo que requiere un restablecimiento duro inmediato y un reemplazo del archivo ISO en todos los nodos.
Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su grupo.
Antes de comenzar
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Partner Hub con derechos de administrador completos.
Si no tiene una licencia de Docker Desktop, puede usar Podman Desktop para ejecutar la herramienta de configuración HDS para los pasos 1.a a 1.e del procedimiento siguiente. Consulte Ejecutar la herramienta de configuración HDS usando Podman Desktop para obtener más detalles.
Si la herramienta de configuración HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al abrir el contenedor de Docker en 1.e. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. El archivo ISO contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesita el archivo ISO cuando realiza cambios en la configuración, incluidas credenciales de la base de datos, actualizaciones de certificado o cambios en la política de autorización.
| 1 |
Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS. |
| 2 |
Si solo tiene un nodo HDS ejecutándose, cree una nueva máquina virtual de nodo de seguridad de datos híbrida y regístrela usando el nuevo archivo ISO de configuración. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos. |
| 3 |
En el caso de nodos de HDS ya existentes que estén ejecutando el archivo de configuración más antiguo, monte el archivo ISO. Realice el siguiente procedimiento en cada nodo a su vez, actualizando cada nodo antes de desactivar el siguiente nodo: |
| 4 |
Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior. |
Desactivar el modo de resolución de DNS externo bloqueado
Cuando registra un nodo o comprueba la configuración del proxy del nodo, el proceso prueba la búsqueda de DNS y la conectividad a la nube de Cisco Webex. Si el servidor DNS del nodo no puede resolver los nombres DNS públicos, el nodo entra automáticamente en el modo de resolución de DNS externo bloqueado.
Si sus nodos son capaces de resolver nombres DNS públicos a través de servidores DNS internos, puede desactivar este modo si ejecuta nuevamente la prueba de conexión de proxy en cada nodo.
Antes de comenzar
| 1 |
En un navegador web, abra la interfaz del nodo de seguridad de datos híbridos (IP address/setup, por ejemplo, https://192.0.2.0/setup), ingrese las credenciales de administrador que configuró para el nodo y luego haga clic en Iniciar sesión. |
| 2 |
Conéctese a Descripción general (la página predeterminada). Cuando está habilitada, la resolución de DNS externo bloqueada se establece en sí. |
| 3 |
Acceda a la Página de proxy de almacén de confianza & . |
| 4 |
Haga clic en verificar conexión de proxy. Si ve un mensaje en el que se le indica que la resolución de DNS externo no fue exitosa, el nodo no pudo comunicarse con el servidor DNS y permanecerá en este modo. De lo contrario, después de reiniciar el nodo y volver a la Página de Descripción general , la resolución de DNS externo bloqueada debe estar configurada en no. |
Qué hacer a continuación
Eliminar un nodo
| 1 |
Use el cliente VMware vSphere en su computadora para iniciar sesión en el host virtual ESXi y apagar la máquina virtual. |
| 2 |
Elimine el nodo: |
| 3 |
En el cliente vSphere, elimine la máquina virtual. (En el panel de navegación izquierdo, haga clic derecho en la máquina virtual y haga clic en Eliminar). Si no elimina la VM, recuerde desmontar el archivo ISO de configuración. Sin el archivo ISO, no puede usar la VM para acceder a sus datos de seguridad. |
Recuperación ante desastres mediante un centro de datos en espera
El servicio más crítico que proporciona su clúster de seguridad de datos híbridos es la creación y el almacenamiento de claves utilizadas para cifrar mensajes y otro contenido almacenado en la nube de Webex. Para cada usuario dentro de la organización que esté asignado a Seguridad de datos híbrida, las nuevas solicitudes de creación de claves se envían al clúster. El grupo también es responsable de devolver las claves creadas para cualquier usuario autorizado a extraerlas; por ejemplo, miembros de un espacio de conversación.
Debido a que el grupo realiza la función crítica de proporcionar estas claves, es fundamental que el grupo permanezca en funcionamiento y que se mantengan las copias de respaldo adecuadas. La pérdida de la base de datos de seguridad de datos híbrida o de la configuración ISO utilizada para el esquema dará como resultado una PÉRDIDA IRRECUPERABLE del contenido del cliente. Las siguientes prácticas son obligatorias para prevenir dicha pérdida:
Si un desastre provoca que la implementación de HDS en el centro de datos principal no esté disponible, siga este procedimiento para realizar una conmutación por error manual al centro de datos en espera.
Antes de comenzar
| 1 |
Inicie la herramienta de configuración HDS y siga los pasos mencionados en Crear una ISO de configuración para los hosts HDS. |
| 2 |
Complete el proceso de configuración y guarde el archivo ISO en una ubicación que sea fácil de encontrar. |
| 3 |
Haga una copia de seguridad del archivo ISO en su sistema local. Mantenga la copia de seguridad segura. Este archivo contiene una clave de cifrado maestra para el contenido de la base de datos. Restrinja el acceso únicamente a aquellos administradores de seguridad de datos híbridos que deban realizar cambios de configuración. |
| 4 |
En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración. |
| 5 |
Haga clic en Editar configuración >CD/DVD Conduzca 1 y seleccione Archivo ISO de almacén de datos. Asegúrese de que Conectado y Conectar al encender estén marcados para que los cambios de configuración actualizados puedan tener efecto después de iniciar los nodos. |
| 6 |
Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 15 minutos. |
| 7 |
Registra el nodo en el centro de socios. Consulte Registrar el primer nodo en el clúster. |
| 8 |
Repita el proceso para cada nodo en el centro de datos en espera. |
Qué hacer a continuación
(Opcional) Desmontar ISO después de la configuración de HDS
La configuración estándar de HDS se ejecuta con la ISO montada. Pero algunos clientes prefieren no dejar los archivos ISO montados continuamente. Puede desmontar el archivo ISO después de que todos los nodos HDS adopten la nueva configuración.
Todavía utiliza los archivos ISO para realizar cambios de configuración. Cuando crea una nueva ISO o actualiza una ISO a través de la herramienta de configuración, debe montar la ISO actualizada en todos sus nodos HDS. Una vez que todos los nodos hayan recogido los cambios de configuración, puede desmontar la ISO nuevamente con este procedimiento.
Antes de comenzar
Actualice todos sus nodos HDS a la versión 2021.01.22.4720 o posterior.
| 1 |
Apague uno de sus nodos HDS. |
| 2 |
En vCenter Server Appliance, seleccione el nodo HDS. |
| 3 |
Seleccione y desmarque Archivo ISO del almacén de datos. |
| 4 |
Encienda el nodo HDS y asegúrese de que no haya alarmas durante al menos 20 minutos. |
| 5 |
Repita este procedimiento para cada nodo HDS por turno. |
Resolución de problemas de seguridad de datos híbridos
Ver alertas y resolver problemas
Una implementación de seguridad de datos híbrida se considera no disponible si todos los nodos del clúster son inaccesibles o si el clúster funciona tan lentamente que se agota el tiempo de espera de las solicitudes. Si los usuarios no pueden acceder a su clúster de seguridad de datos híbrido, experimentarán los siguientes síntomas:
-
No podrán crear espacios nuevos (no podrán crear claves nuevas)
-
Los mensajes y títulos de espacios no podrán descifrarse para:
-
Nuevos usuarios agregados a un espacio (no se pueden obtener claves)
-
Usuarios existentes en un espacio que utiliza un cliente nuevo (no se pueden obtener claves)
-
-
Los usuarios existentes de un espacio seguirán ejecutándose correctamente siempre y cuando sus clientes tengan una caché de las claves de cifrado.
Es importante que supervise adecuadamente su clúster de seguridad de datos híbrido y aborde cualquier alerta rápidamente para evitar la interrupción del servicio.
publicación
Si hay un problema con la configuración de seguridad de datos híbrida, Partner Hub muestra alertas al administrador de la organización y envía correos electrónicos a la dirección de correo electrónico configurada. Las alertas cubren muchas situaciones comunes.
|
Alerta |
Acción |
|---|---|
|
Error de acceso a la base de datos local. |
Busque errores en la base de datos o problemas de la red local. |
|
Error de conexión a la base de datos local. |
Verifique que el servidor de la base de datos esté disponible y que se utilizaron las credenciales de cuenta de servicio correctas en la configuración del nodo. |
|
Error de acceso al servicio en la nube. |
Verifique que los nodos puedan acceder a los servidores Webex como se especifica en Requisitos de conectividad externa. |
|
Renovación del registro al servicio en la nube. |
Se interrumpió el registro a los servicios en la nube. La renovación del registro está en curso. |
|
Se interrumpió el registro al servicio en la nube. |
Se canceló el registro a los servicios en la nube. El servicio se está apagando. |
|
El servicio aún no está activado. |
Activar HDS en Partner Hub. |
|
El dominio configurado no coincide con el certificado del servidor. |
Asegúrese de que el certificado de su servidor coincida con el dominio de activación de servicio configurado. La causa más probable es que el nombre común del certificado se cambió recientemente y ahora es diferente al nombre común que se utilizó durante la configuración inicial. |
|
Error al autenticar los servicios en la nube. |
Verifique que las credenciales de la cuenta de servicio sean correctas y asegúrese de que no hayan caducado. |
|
Error al abrir el archivo del almacén de claves local. |
Verifique la integridad y precisión de la contraseña en el archivo del almacén de claves local. |
|
El certificado del servidor local no es válido. |
Verifique la fecha de caducidad para el certificado del servidor y confirme que se emitió por una Autoridad de certificación de confianza. |
|
No se pudieron publicar las métricas. |
Verifique el acceso de la red local a los servicios externos en la nube. |
|
El directorio /media/configdrive/hds no existe. |
Compruebe la configuración de montaje de ISO en el host virtual. Verifique que el archivo ISO exista, que está configurado para montarse en el reinicio y que realice el montaje de manera correcta. |
|
La configuración de la organización del inquilino no se ha completado para las organizaciones agregadas |
Complete la configuración creando CMK para las organizaciones de inquilinos recientemente agregadas mediante la herramienta de configuración de HDS. |
|
La configuración de la organización de inquilinos no se ha completado para las organizaciones eliminadas |
Complete la configuración revocando las CMK de las organizaciones de inquilinos que se eliminaron mediante la herramienta de configuración de HDS. |
Resolución de problemas de seguridad de datos híbridos
| 1 |
Revise el Centro de socios para detectar cualquier alerta y corregir cualquier problema que encuentre allí. Vea la imagen a continuación como referencia. |
| 2 |
Revise la salida del servidor syslog para ver la actividad de la implementación de seguridad de datos híbrida. Filtra por palabras como "Advertencia" y "Error" para ayudar en la solución de problemas. |
| 3 |
Comuníquese con el servicio de soporte de Cisco. |
Otras notas
Problemas conocidos con la seguridad de datos híbridos
-
Si apaga su clúster de seguridad de datos híbrido (eliminándolo en Partner Hub o apagando todos los nodos), pierde su archivo ISO de configuración o pierde el acceso a la base de datos del almacén de claves, los usuarios de la aplicación Webex de las organizaciones de clientes ya no podrán usar espacios en su lista de personas que se crearon con claves de su KMS. En este momento no tenemos una solución para este problema y le sugerimos que no apague sus servicios de HDS una vez que tengan cuentas de usuario activas.
-
Un cliente que tiene una conexión ECDH existente con un KMS mantiene esa conexión durante un período de tiempo (probablemente una hora).
Ejecute la herramienta de configuración HDS usando Podman Desktop
Podman es una herramienta de gestión de contenedores gratuita y de código abierto que proporciona una forma de ejecutar, administrar y crear contenedores. Podman Desktop se puede descargar desde https://podman-desktop.io/downloads.
-
La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, descargue y ejecute Podman en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador total para su organización.
Si la herramienta de configuración HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al activar el contenedor de Docker en el paso 5. Esta tabla ofrece algunas variables de entorno posibles:
Descripción
Variable
Proxy HTTP sin autenticación
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORTProxy HTTPS sin autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORTProxy HTTP con autenticación
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORTProxy HTTPS con autenticación
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT -
El archivo ISO de configuración que genera contiene la clave maestra que cifra la base de datos PostgreSQL o Microsoft SQL Server. Necesitará la última copia de este archivo cada vez que realice cambios de configuración, como estos:
-
Credenciales de la base de datos
-
Actualizaciones de certificados
-
Cambios en la política de autorización
-
-
Si planea cifrar conexiones de bases de datos, configure su implementación de PostgreSQL o SQL Server para TLS.
El proceso de configuración de seguridad de datos híbrida crea un archivo ISO. Luego usa la ISO para configurar tu host de seguridad de datos híbrido.
| 1 |
En la línea de comandos de su máquina, introduzca el comando adecuado para su entorno: En entornos regulares: En entornos de FedRAMP: Este paso elimina las imágenes de la herramienta de configuración anterior de HDS. Si no hay imágenes anteriores, se devuelve un error que puede ignorar. |
| 2 |
Para iniciar sesión en el registro de imagen de Docker, introduzca lo siguiente: |
| 3 |
En el aviso de contraseña, introduzca este código hash: |
| 4 |
Descargue la imagen estable más reciente para su entorno: En entornos regulares: En entornos de FedRAMP: |
| 5 |
Cuando finalice este proceso, introduzca el comando correspondiente para su entorno:
Cuando el contenedor está en ejecución, verá "El servidor de Express está escuchando en el puerto 8080". |
Qué hacer a continuación
Mover la implementación de HDS de un solo inquilino existente de una organización asociada en Control Hub a una configuración de HDS de múltiples inquilinos en Partner Hub
La conversión de una implementación HDS de un solo inquilino existente de una organización asociada administrada en Control Hub a una implementación HDS de múltiples inquilinos administrada en Partner Hub implica principalmente la desactivación del servicio HDS en Control Hub, la cancelación del registro de nodos y la eliminación del clúster. Luego puede iniciar sesión en Partner Hub, registrar los nodos, activar Multi-Tenant HDS y agregar clientes a su clúster.
El término "inquilino único" simplemente se refiere a una implementación de HDS existente en Control Hub.
Desactivar HDS, anular el registro de nodos y eliminar el clúster en el Centro de control
| 1 |
Inicie sesión en el centro de control. En el panel izquierdo, haga clic en Híbrido. En la tarjeta Seguridad de datos híbridos, haga clic en Editar configuración. |
| 2 |
En la página de configuración, desplácese hacia abajo hasta la sección Desactivar y haga clic en Desactivar. |
| 3 |
Después de la desactivación, haga clic en la pestaña Recursos. |
| 4 |
La página Recursos enumera los clústeres en su implementación de HDS. Haga clic en un clúster; se abrirá una página con todos los nodos bajo ese clúster. |
| 5 |
Haga clic en ... a la derecha y haga clic en Anular registro de nodo. Repita el proceso para todos los nodos del clúster. |
| 6 |
Si su implementación tiene varios clústeres, repita el paso 4 y el paso 5 hasta que se cancelen el registro de todos los nodos. |
| 7 |
Haga clic en Configuración del clúster > Eliminar. |
| 8 |
Haga clic en Confirmar eliminación para cancelar el registro del clúster. |
| 9 |
Repita el proceso para todos los clústeres en su implementación de HDS. Después de la desactivación de HDS, la anulación del registro de nodos y la eliminación de clústeres, la tarjeta de Servicio de datos híbridos en el Centro de control tendrá Configuración no completada mostrado en la parte inferior. |
Activar HDS multiinquilino para la organización asociada en Partner Hub y agregar clientes
Antes de comenzar
Todos los requisitos previos mencionados en Requisitos para la seguridad de datos híbridos de múltiples inquilinos son aplicables aquí. Además, asegúrese de que se utilicen la misma base de datos y los mismos certificados durante la migración a HDS multiinquilino.
| 1 |
Inicie sesión en Partner Hub. Haga clic en Servicios en el panel izquierdo. Utilice la misma ISO de su implementación HDS anterior para configurar los nodos. Esto garantizará que los mensajes y el contenido generados por los usuarios en la implementación de HDS existente anterior aún sean accesibles en la nueva configuración multiinquilino. |
| 2 |
En la sección Servicios en la nube, busque la tarjeta Seguridad de datos híbrida y haga clic en Configurar. |
| 3 |
En la página que se abre, haga clic en Agregar un recurso. |
| 4 |
En el primer campo de la tarjeta Agregar un nodo, ingrese un nombre para el clúster al que desea asignar su nodo de seguridad de datos híbrida. Le recomendamos que elija el nombre de un grupo en función de la ubicación geográfica de sus nodos. Ejemplos: "San Francisco" o "Nueva York" o "Dallas" |
| 5 |
En el segundo campo, ingrese la dirección IP interna o el nombre de dominio completo (FQDN) de su nodo y haga clic en Agregar en la parte inferior de la pantalla. Esta dirección IP o FQDN debe coincidir con la dirección IP o el nombre de host y el dominio que utilizó en Configurar la VM de seguridad de datos híbrida. Aparece un mensaje que indica que puede registrar su nodo en Webex.
|
| 6 |
Haga clic en Ir al nodo. Después de unos momentos, será redirigido a las pruebas de conectividad de nodos para los servicios de Webex. Si todas las pruebas finalizan satisfactoriamente, aparecerá la página Permitir acceso al nodo de seguridad de datos híbridos. Allí, confirma que deseas otorgar permisos a tu organización de Webex para acceder a tu nodo. |
| 7 |
Marque la casilla Permitir acceso al nodo de seguridad de datos híbridos y luego haga clic en Continuar. Su cuenta está validada y el mensaje "Registro completo" indica que su nodo ahora está registrado en la nube de Webex. En la página Seguridad de datos híbridos, el nuevo clúster que contiene el nodo que registró se muestra en la pestaña Recursos. El nodo descargará automáticamente la última versión del software de la nube.
|
| 8 |
Vaya a la pestaña Configuración y haga clic en Activar en la tarjeta Estado HDS. El mensaje HDS activado aparecerá en la parte inferior de la pantalla.
|
| 9 |
En Recursos, haga clic en el clúster recién creado. |
| 10 |
En la página que se abre, haga clic en la pestaña Clientes asignados. |
| 11 |
Haga clic en Agregar clientes. |
| 12 |
Seleccione el cliente que desea agregar del menú desplegable. |
| 13 |
Haga clic en Agregar, el cliente se agregará al clúster. |
| 14 |
Repita los pasos 11 a 13 para agregar varios clientes a su clúster. |
| 15 |
Haga clic en Listo en la parte inferior de la pantalla una vez que haya agregado los clientes. |
Qué hacer a continuación
Use OpenSSL para generar un archivo PKCS12
Antes de comenzar
-
OpenSSL es una herramienta que se puede utilizar para crear el archivo PKCS12 en el formato correcto para cargarlo en la Herramienta de configuración de HDS. Hay otras maneras de hacerlo, y no respaldamos ni promovemos la preferencia de una opción por sobre otra.
-
Si decide utilizar OpenSSL, le proporcionamos este procedimiento como guía para ayudarlo a crear un archivo que cumpla con los requisitos del certificado X.509 en Requisitos del certificado X.509. Comprenda estos requisitos antes de continuar.
-
Instale OpenSSL en un entorno compatible. Consulte https://www.openssl.org para ver el software y los documentos.
-
Cree una clave privada.
-
Comience este procedimiento cuando reciba el certificado de servidor de su Autoridad de certificación (CA).
| 1 |
Cuando reciba el certificado del servidor de su CA, guárdelo como |
| 2 |
Visualice el certificado como texto y verifique los detalles.
|
| 3 |
Utilice un editor de texto para crear un archivo de paquete de certificados llamado
|
| 4 |
Cree el archivo . p12 con el nombre descriptivo
|
| 5 |
Verifique los detalles del certificado de servidor. |
Qué hacer a continuación
Regresar a Completar los requisitos previos para la seguridad de datos híbridos. Utilizarás el archivo hdsnode.p12 y la contraseña que hayas establecido para él en Crear una ISO de configuración para los hosts HDS.
Puede reutilizar estos archivos para solicitar un nuevo certificado cuando expire el certificado original.
Tráfico entre los nodos de HDS y la nube
Tráfico de colección de métricas salientes
Los nodos de seguridad de datos híbridos envían ciertas métricas a la nube de Webex. Estas métricas incluyen métricas del sistema para el máximo de memoria heap, carga de CPU y conteo de hilos; métricas sobre hilos síncronos y asíncronos; métricas sobre alertas que involucran a un umbral de conexiones de cifrado, latencia o una longitud de cola de solicitud; métricas sobre el almacén de datos; y métricas de conexión de cifrado. Los nodos envían una clave cifrada sobre un canal fuera de banda (separado de la solicitud).
Tráfico entrante
Los nodos de seguridad de datos híbridos reciben los siguientes tipos de tráfico entrante desde la nube de Webex:
-
Solicitudes de cifrado de clientes, que se envían a través del servicio de cifrado
-
Actualizaciones al software del nodo
Configurar proxies squid para la seguridad de datos híbridos
WebSocket no se puede conectar a través de proxy Squid
Los servidores proxy Squid que inspeccionan el tráfico HTTPS pueden interferir con el establecimiento de conexiones websocket (wss:) que requiere la seguridad de datos híbrida. Estas secciones brindan orientación sobre cómo configurar varias versiones de Squid para ignorar el tráfico wss: para el correcto funcionamiento de los servicios.
Calamar 4 y 5
Añade la directiva on_unsupported_protocol a squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
Probamos con éxito la seguridad de datos híbrida con las siguientes reglas agregadas a squid.conf. Estas reglas están sujetas a cambios a medida que desarrollamos características y actualizamos la nube Webex Cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
