Merci pour votre commentaire.

Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

Configurer la machine virtuelle de sécurité des données hybrides

Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

Configurer un cluster de sécurité des données hybrides

Terminez la configuration du cluster.

Lancer un essai et passer à la production (chapitre suivant)

Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Télécharger les fichiers d'installation

Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.

Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.

Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.

Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.

Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

Créer une configuration ISO pour les hôtes HDS

Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

Avant de commencer

L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
- Identifiants de base de données
- Mises à jour des certificats
- Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :

docker login -u hdscustomersro

À l'invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

Sur la page Importation ISO, vous avez les options suivantes :

Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.

Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
Si votre certificat est OK, cliquez sur Continuer.
Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.

Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.
(Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :
- Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.
- Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.
Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

Exemple :
dbhost.example.org:1433 ou 198.51.100.17:1433

Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433
Saisissez le Nom de la base de données.
Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

Sélectionnez un mode de connexion à la base de données TLS :

Mode

Description

Préférer TLS (option par défaut)

Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

TLS requis

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

Exiger TLS et vérifier le signataire du certificat

Ce mode n’est pas applicable aux bases de données SQL Server.

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.
Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

Sur la page Journaux système, configurez votre serveur Syslogd :

Saisissez l'URL du serveur syslog.

Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

Exemple :
udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.
Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP
- Octet nul -- \x00
- Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.
Cliquez sur Continuer.

(Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

app_datasource_connection_pool_maxSize: 10

Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

Pour arrêter l'outil d'installation, tapez CTRL+C.

Que faire ensuite

Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.

Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

Installer le fichier OVA de l'hôte HDS

Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

Sélectionnez FichierDéployer le modèle OVF…

Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

Vérifiez les détails du modèle, puis cliquez sur Suivant.

Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.

Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

Astuces de dépannage

Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

Configurer la machine virtuelle de sécurité des données hybrides

Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

1	Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Connexion : `admin` Mot de passe : `cisco` Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.
3	Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.
4	Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
5	(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
6	Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

Télécharger et monter l'ISO de configuration HDS

Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

Avant de commencer

Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

Téléchargez le fichier ISO depuis votre ordinateur :

Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.
Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.
Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.
Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.
Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.
Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

Monter le fichier ISO :

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.
Cochez Connecté et Connecté à la mise sous tension.
Enregistrez vos modifications et redémarrez la machine virtuelle.

Que faire ensuite

Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

Configurer le nœud HDS pour l'intégration du proxy

Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

Avant de commencer

Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
Exigences du serveur proxy

1	Saisissez l’URL de configuration du nœud HDS `https://[HDS Node IP or FQDN]/setup` dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez dans Trust Store & Proxy, puis choisissez une option : Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise. Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise. Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS). Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes : IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy. Type d'authentification—Choisissez parmi les types d'authentification suivants : Aucun : aucune autre authentification n'est requise. Disponible pour les proxys HTTP ou HTTPS. Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64. Disponible pour les proxys HTTP ou HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau. Disponible uniquement pour les proxys HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.
3	Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.
5	Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.
6	Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes.
7	Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

Enregistrer le premier nœud dans le cluster

Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
4	Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.
5	Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"
6	Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
9	Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
10	Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

Créer et enregistrer d'autres nœuds

Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.
2	Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.
3	Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.
4	Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.
5	Enregistrer le nœud. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources. La page Ressources de sécurité des données hybrides s'affiche. Cliquez sur Ajouter une ressource. Dans le premier champ, sélectionnez le nom de votre cluster existant. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex. Cliquez sur Aller sur le noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Que faire ensuite

Lancer un essai et passer à la production (chapitre suivant)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

Avant de commencer

1	Le cas échéant, synchronisez le `HdsTrialGroup` objet de groupe. Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le `HdsTrialGroup` objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.

Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

Passer de l'essai à la production

Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

Création d'une nouvelle configuration pour préparer un nouveau centre de données.

Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l'outil d'installation, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrez le nouveau nœud dans Control Hub.

Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .
3	Rendez-vous sur la page Trust Store & Proxy.
4	Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

Que faire ensuite

Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

Récupération après sinistre à l'aide du centre de données en attente

Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.


passiveMode: 'false'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

(Facultatif) Démonter l'ISO après la configuration HDS

La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

Alertes

S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec de l'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -in hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName: kms-private-key`. Exemple : bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Que faire ensuite

Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer des proxys Squid pour la sécurité des données hybrides

Websocket ne peut pas se connecter via le proxy Squid

Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

Calamars 4 et 5

Ajouter le on_unsupported_protocol directive à squid.conf:

on_unsupported_protocol tunnel all

Calamar 3.5.27

Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Préface

Informations nouvelles et modifiées

Date

Modifications effectuées

20 octobre 2023

Mise à jour des informations dans Exigences du serveur de base de données.
Ajout de la configuration du centre de données en attente pour la reprise après sinistre.
Mise à jour des informations dans le centre de données en attente pour la reprise après sinistre et la reprise après sinistre à l'aide du centre de données en attente.

07 août 2023

Une remarque a été ajoutée dans Télécharger les fichiers d'installation.
Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

23 mai 2023

Suppression des informations de Exigences du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte.
Mise à jour des informations dans Exigences de connectivité externe et ajout du Canada au tableau des hôtes de CI.
Ajout d'une note dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le cloud.

06 décembre 2022

Les images de l'outil de configuration HDS sont maintenant hébergées dans le ciscocitg référentiel dockerhub.
Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relfecter les modifications dans les commandes.

23 novembre 2022

Les nœuds HDS peuvent maintenant utiliser l'authentification Windows contre Microsoft SQL Server.

Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification.

Mise à jour de Créer une configuration ISO pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds.
Mise à jour de la rubrique Exigences du serveur de base de données avec les nouvelles versions minimum requises (PostgreSQL 10).

13 octobre 2021

Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

24 juin 2021

Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

30 avril 2021

Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

24 février 2021

L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

2 février 2021

HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

11 janvier 2021

Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

13 octobre 2020

Mise à jour de Télécharger les fichiers d'installation.

8 octobre 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

14 août 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

5 août 2020

Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

16 juin 2020

Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

4 juin 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

29 mai 2020

5 mai 2020

Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

21 avril 2020

Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

1er avril 2020

Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

20 février 2020 Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.

4 février 2020 Mise à jour des Exigences du serveur proxy.

16 décembre 2019 Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.

19 novembre 2019

Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

Prise en charge du proxy
Configurer le nœud HDS pour l'intégration du proxy
Désactiver le mode de résolution DNS externe bloqué

8 novembre 2019

Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

Mise à jour des sections suivantes en conséquence :

Flux des tâches de déploiement de la sécurité des données hybrides
Installer le fichier OVA de l'hôte HDS
Configurer la machine virtuelle de sécurité des données hybrides

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

6 septembre 2019

Ajout du standard SQL Server aux exigences du serveur de base de données.

20 août 2019

Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

Prise en charge du proxy
Exigences du serveur proxy
Configurer le nœud HDS pour l'intégration du proxy

6 mars 2019

Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement.
Ajout de l'aperçu du flux de tâches de déploiement de la sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides.

Notez que jusqu'à ce que vous commenciez un essai (en utilisant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
Ajout du Trial to Production Task Flow dans le chapitre Run a Trial and Move to Production.

28 février 2019

Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

26 février 2019

Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.
Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

24 janvier 2019

5 novembre 2018

Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
Mise à jour de l'étape clé du niveau d'accès dans Créer une configuration ISO pour les hôtes HDS pour qu'elle corresponde à l'interface.

19 octobre 2018

Divisez les informations de connexion du pare-feu en exigences du nœud et en exigences de la machine de configuration ISO dans Remplir les prérequis pour la sécurité des données hybrides.

31 juillet 2018

Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et du pare-feu pour Remplir les conditions préalables à la sécurité des données hybrides.

21 mai 2018

Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.
L'application Cisco Spark est maintenant l'application Webex.
Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

11 avril 2018

Ajout du centre de données en attente pour la reprise après sinistre.
Mise à jour de Remplir les conditions préalables à la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données.
Mise à jour de la reprise après sinistre en utilisant le centre de données en attente.

22 février 2018

Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil de configuration HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

15 février 2018

Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

18 janvier 2018

Ajout d'une annexe, Trafic entre les nœuds HDS et le Cloud.
Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides.
Modifié index.docker.io en *.docker.io et ajouté *.cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Terminer les prérequis pour la sécurité des données hybrides.
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour indiquer que si l'hôte de base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide d'adresses IP.

2 novembre 2017

Clarification de la synchronisation du répertoire du HdsTrialGroup.
Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

18 août 2017

Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.

Collaborer avec d’autres organisations

Attentes concernant le déploiement de la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.

Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.

Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus de configuration de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

Modèle de déploiement de la sécurité des données hybrides

Modèle de déploiement de la sécurité des données hybrides

Nous ne prenons en charge qu’un seul cluster par organisation.

Mode d'évaluation de la sécurité des données hybrides

Centre de données en attente pour la reprise après sinistre

Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en attente pour la reprise après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

Avant de commencer

Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'true'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

Que faire ensuite

Prise en charge du proxy

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP : affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucun : aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
  - Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et de proxy

Mode de résolution DNS externe bloqué (configurations de proxy explicites)

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Exigences relatives aux licences Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Configuration minimale requise pour Docker Desktop

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides
Configuration minimale requise	Détails
Signé par une autorité de certification (AC) approuvée	Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, `hds.company.com`. Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.
Signature non SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.
Formaté en tant que fichier PKCS #12 protégé par mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

Exigences de l'organisateur virtuel

Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.

Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Exigences du serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

Tableau 2. Exigences du serveur de base de données par type de base de données

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Microsoft SQL Server

Pilote Postgres JDBC driver 42.2.5

Pilote SQL Server JDBC 4.6

Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

Exigences de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	HTTPS et WSS sortants	Serveurs Webex : .wbx2.com .ciscospark.com Tous les organisateurs Common Identity Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex
Outil de configuration HDS	TCP	443	HTTPS sortant	*.wbx2.com Tous les organisateurs Common Identity hub.docker.com

Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

Région	URL de l'hôte Common Identity
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Exigences du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

Proxy transparent : Cisco Web Security Appliance (WSA).

Proxy explicite : Squid.

Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPS
- Authentification de base avec HTTP ou HTTPS
- Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

Remplissez les prérequis pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)
Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :
- le nom d'hôte ou l'adresse IP (hôte) et le port
- le nom de la base de données (dbname) pour le stockage des clés
- le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

Configurer un cluster de sécurité des données hybrides

Flux des tâches de déploiement de la sécurité des données hybrides

Avant de commencer

Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

Configurer la machine virtuelle de sécurité des données hybrides

Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

Configurer un cluster de sécurité des données hybrides

Terminez la configuration du cluster.

Lancer un essai et passer à la production (chapitre suivant)

Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Télécharger les fichiers d'installation

Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.

Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

Créer une configuration ISO pour les hôtes HDS

Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

Avant de commencer

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
- Identifiants de base de données
- Mises à jour des certificats
- Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :

docker login -u hdscustomersro

À l'invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

Sur la page Importation ISO, vous avez les options suivantes :

Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.

Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
Si votre certificat est OK, cliquez sur Continuer.
Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.

Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.
(Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :
- Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.
- Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.
Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

Exemple :
dbhost.example.org:1433 ou 198.51.100.17:1433

Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433
Saisissez le Nom de la base de données.
Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

Sélectionnez un mode de connexion à la base de données TLS :

Mode

Description

Préférer TLS (option par défaut)

Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

TLS requis

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

Exiger TLS et vérifier le signataire du certificat

Ce mode n’est pas applicable aux bases de données SQL Server.

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.
Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Sur la page Journaux système, configurez votre serveur Syslogd :

Saisissez l'URL du serveur syslog.

Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

Exemple :
udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.
Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP
- Octet nul -- \x00
- Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.
Cliquez sur Continuer.

app_datasource_connection_pool_maxSize: 10

Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

Pour arrêter l'outil d'installation, tapez CTRL+C.

Que faire ensuite

Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

Installer le fichier OVA de l'hôte HDS

Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

Sélectionnez FichierDéployer le modèle OVF…

Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

Vérifiez les détails du modèle, puis cliquez sur Suivant.

Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.

Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

Astuces de dépannage

Configurer la machine virtuelle de sécurité des données hybrides

1	Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Connexion : `admin` Mot de passe : `cisco` Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.
3	Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.
4	Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
5	(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
6	Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

Télécharger et monter l'ISO de configuration HDS

Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

Avant de commencer

Téléchargez le fichier ISO depuis votre ordinateur :

Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.
Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.
Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.
Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.
Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.
Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

Monter le fichier ISO :

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.
Cochez Connecté et Connecté à la mise sous tension.
Enregistrez vos modifications et redémarrez la machine virtuelle.

Que faire ensuite

Configurer le nœud HDS pour l'intégration du proxy

Avant de commencer

Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
Exigences du serveur proxy

1	Saisissez l’URL de configuration du nœud HDS `https://[HDS Node IP or FQDN]/setup` dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez dans Trust Store & Proxy, puis choisissez une option : Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise. Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise. Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS). Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes : IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy. Type d'authentification—Choisissez parmi les types d'authentification suivants : Aucun : aucune autre authentification n'est requise. Disponible pour les proxys HTTP ou HTTPS. Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64. Disponible pour les proxys HTTP ou HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau. Disponible uniquement pour les proxys HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.
3	Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.
5	Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.
6	Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes.
7	Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

Enregistrer le premier nœud dans le cluster

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
4	Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.
5	Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"
6	Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
9	Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
10	Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

Créer et enregistrer d'autres nœuds

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.
2	Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.
3	Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.
4	Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.
5	Enregistrer le nœud. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources. La page Ressources de sécurité des données hybrides s'affiche. Cliquez sur Ajouter une ressource. Dans le premier champ, sélectionnez le nom de votre cluster existant. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex. Cliquez sur Aller sur le noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Que faire ensuite

Lancer un essai et passer à la production (chapitre suivant)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Avant de commencer

1	Le cas échéant, synchronisez le `HdsTrialGroup` objet de groupe. Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le `HdsTrialGroup` objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

Passer de l'essai à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Création d'une nouvelle configuration pour préparer un nouveau centre de données.

Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l'outil d'installation, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrez le nouveau nœud dans Control Hub.

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .
3	Rendez-vous sur la page Trust Store & Proxy.
4	Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

Que faire ensuite

Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

Récupération après sinistre à l'aide du centre de données en attente

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'false'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

(Facultatif) Démonter l'ISO après la configuration HDS

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Alertes

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec de l'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -in hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName: kms-private-key`. Exemple : bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Que faire ensuite

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer des proxys Squid pour la sécurité des données hybrides

Websocket ne peut pas se connecter via le proxy Squid

Calamars 4 et 5

Ajouter le on_unsupported_protocol directive à squid.conf:

on_unsupported_protocol tunnel all

Calamar 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Préface

Informations nouvelles et modifiées

Date

Modifications effectuées

20 octobre 2023

Mise à jour des informations dans Exigences du serveur de base de données.
Ajout de la configuration du centre de données en attente pour la reprise après sinistre.
Mise à jour des informations dans le centre de données en attente pour la reprise après sinistre et la reprise après sinistre à l'aide du centre de données en attente.

07 août 2023

Une remarque a été ajoutée dans Télécharger les fichiers d'installation.
Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

23 mai 2023

Suppression des informations de Exigences du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte.
Mise à jour des informations dans Exigences de connectivité externe et ajout du Canada au tableau des hôtes de CI.
Ajout d'une note dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le cloud.

06 décembre 2022

Les images de l'outil de configuration HDS sont maintenant hébergées dans le ciscocitg référentiel dockerhub.
Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relfecter les modifications dans les commandes.

23 novembre 2022

Les nœuds HDS peuvent maintenant utiliser l'authentification Windows contre Microsoft SQL Server.

Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification.

Mise à jour de Créer une configuration ISO pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds.
Mise à jour de la rubrique Exigences du serveur de base de données avec les nouvelles versions minimum requises (PostgreSQL 10).

13 octobre 2021

Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

24 juin 2021

Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

30 avril 2021

Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

24 février 2021

L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

2 février 2021

HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

11 janvier 2021

Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

13 octobre 2020

Mise à jour de Télécharger les fichiers d'installation.

8 octobre 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

14 août 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

5 août 2020

Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

16 juin 2020

Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

4 juin 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

29 mai 2020

5 mai 2020

Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

21 avril 2020

Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

1er avril 2020

Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

20 février 2020 Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.

4 février 2020 Mise à jour des Exigences du serveur proxy.

16 décembre 2019 Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.

19 novembre 2019

Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

Prise en charge du proxy
Configurer le nœud HDS pour l'intégration du proxy
Désactiver le mode de résolution DNS externe bloqué

8 novembre 2019

Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

Mise à jour des sections suivantes en conséquence :

Flux des tâches de déploiement de la sécurité des données hybrides
Installer le fichier OVA de l'hôte HDS
Configurer la machine virtuelle de sécurité des données hybrides

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

6 septembre 2019

Ajout du standard SQL Server aux exigences du serveur de base de données.

20 août 2019

Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

Prise en charge du proxy
Exigences du serveur proxy
Configurer le nœud HDS pour l'intégration du proxy

6 mars 2019

Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement.
Ajout de l'aperçu du flux de tâches de déploiement de la sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides.

Notez que jusqu'à ce que vous commenciez un essai (en utilisant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
Ajout du Trial to Production Task Flow dans le chapitre Run a Trial and Move to Production.

28 février 2019

Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

26 février 2019

Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.
Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

24 janvier 2019

5 novembre 2018

Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
Mise à jour de l'étape clé du niveau d'accès dans Créer une configuration ISO pour les hôtes HDS pour qu'elle corresponde à l'interface.

19 octobre 2018

Divisez les informations de connexion du pare-feu en exigences du nœud et en exigences de la machine de configuration ISO dans Remplir les prérequis pour la sécurité des données hybrides.

31 juillet 2018

Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et du pare-feu pour Remplir les conditions préalables à la sécurité des données hybrides.

21 mai 2018

Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.
L'application Cisco Spark est maintenant l'application Webex.
Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

11 avril 2018

Ajout du centre de données en attente pour la reprise après sinistre.
Mise à jour de Remplir les conditions préalables à la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données.
Mise à jour de la reprise après sinistre en utilisant le centre de données en attente.

22 février 2018

Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil de configuration HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

15 février 2018

Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

18 janvier 2018

Ajout d'une annexe, Trafic entre les nœuds HDS et le Cloud.
Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides.
Modifié index.docker.io en *.docker.io et ajouté *.cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Terminer les prérequis pour la sécurité des données hybrides.
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour indiquer que si l'hôte de base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide d'adresses IP.

2 novembre 2017

Clarification de la synchronisation du répertoire du HdsTrialGroup.
Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

18 août 2017

Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.

Collaborer avec d’autres organisations

Attentes concernant le déploiement de la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.

Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.

Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus de configuration de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

Modèle de déploiement de la sécurité des données hybrides

Modèle de déploiement de la sécurité des données hybrides

Nous ne prenons en charge qu’un seul cluster par organisation.

Mode d'évaluation de la sécurité des données hybrides

Centre de données en attente pour la reprise après sinistre

Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en attente pour la reprise après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

Avant de commencer

Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'true'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

Que faire ensuite

Prise en charge du proxy

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP : affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucun : aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
  - Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et de proxy

Mode de résolution DNS externe bloqué (configurations de proxy explicites)

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Exigences relatives aux licences Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Configuration minimale requise pour Docker Desktop

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides
Configuration minimale requise	Détails
Signé par une autorité de certification (AC) approuvée	Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, `hds.company.com`. Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.
Signature non SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.
Formaté en tant que fichier PKCS #12 protégé par mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

Exigences de l'organisateur virtuel

Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.

Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Exigences du serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

Tableau 2. Exigences du serveur de base de données par type de base de données

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Microsoft SQL Server

Pilote Postgres JDBC driver 42.2.5

Pilote SQL Server JDBC 4.6

Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

Exigences de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	HTTPS et WSS sortants	Serveurs Webex : .wbx2.com .ciscospark.com Tous les organisateurs Common Identity Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex
Outil de configuration HDS	TCP	443	HTTPS sortant	*.wbx2.com Tous les organisateurs Common Identity hub.docker.com

Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

Région	URL de l'hôte Common Identity
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Exigences du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

Proxy transparent : Cisco Web Security Appliance (WSA).

Proxy explicite : Squid.

Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPS
- Authentification de base avec HTTP ou HTTPS
- Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

Remplissez les prérequis pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)
Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :
- le nom d'hôte ou l'adresse IP (hôte) et le port
- le nom de la base de données (dbname) pour le stockage des clés
- le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

Configurer un cluster de sécurité des données hybrides

Flux des tâches de déploiement de la sécurité des données hybrides

Avant de commencer

Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

Configurer la machine virtuelle de sécurité des données hybrides

Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

Configurer un cluster de sécurité des données hybrides

Terminez la configuration du cluster.

Lancer un essai et passer à la production (chapitre suivant)

Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Télécharger les fichiers d'installation

Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.

Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

Créer une configuration ISO pour les hôtes HDS

Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

Avant de commencer

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
- Identifiants de base de données
- Mises à jour des certificats
- Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :

docker login -u hdscustomersro

À l'invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

Sur la page Importation ISO, vous avez les options suivantes :

Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.

Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
Si votre certificat est OK, cliquez sur Continuer.
Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.

Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.
(Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :
- Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.
- Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.
Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

Exemple :
dbhost.example.org:1433 ou 198.51.100.17:1433

Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433
Saisissez le Nom de la base de données.
Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

Sélectionnez un mode de connexion à la base de données TLS :

Mode

Description

Préférer TLS (option par défaut)

Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

TLS requis

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

Exiger TLS et vérifier le signataire du certificat

Ce mode n’est pas applicable aux bases de données SQL Server.

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.
Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Sur la page Journaux système, configurez votre serveur Syslogd :

Saisissez l'URL du serveur syslog.

Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

Exemple :
udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.
Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP
- Octet nul -- \x00
- Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.
Cliquez sur Continuer.

app_datasource_connection_pool_maxSize: 10

Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

Pour arrêter l'outil d'installation, tapez CTRL+C.

Que faire ensuite

Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

Installer le fichier OVA de l'hôte HDS

Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

Sélectionnez FichierDéployer le modèle OVF…

Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

Vérifiez les détails du modèle, puis cliquez sur Suivant.

Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.

Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

Astuces de dépannage

Configurer la machine virtuelle de sécurité des données hybrides

1	Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Connexion : `admin` Mot de passe : `cisco` Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.
3	Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.
4	Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
5	(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
6	Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

Télécharger et monter l'ISO de configuration HDS

Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

Avant de commencer

Téléchargez le fichier ISO depuis votre ordinateur :

Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.
Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.
Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.
Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.
Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.
Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

Monter le fichier ISO :

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.
Cochez Connecté et Connecté à la mise sous tension.
Enregistrez vos modifications et redémarrez la machine virtuelle.

Que faire ensuite

Configurer le nœud HDS pour l'intégration du proxy

Avant de commencer

Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
Exigences du serveur proxy

1	Saisissez l’URL de configuration du nœud HDS `https://[HDS Node IP or FQDN]/setup` dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez dans Trust Store & Proxy, puis choisissez une option : Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise. Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise. Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS). Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes : IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy. Type d'authentification—Choisissez parmi les types d'authentification suivants : Aucun : aucune autre authentification n'est requise. Disponible pour les proxys HTTP ou HTTPS. Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64. Disponible pour les proxys HTTP ou HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau. Disponible uniquement pour les proxys HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.
3	Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.
5	Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.
6	Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes.
7	Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

Enregistrer le premier nœud dans le cluster

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
4	Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.
5	Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"
6	Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
9	Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
10	Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

Créer et enregistrer d'autres nœuds

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.
2	Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.
3	Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.
4	Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.
5	Enregistrer le nœud. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources. La page Ressources de sécurité des données hybrides s'affiche. Cliquez sur Ajouter une ressource. Dans le premier champ, sélectionnez le nom de votre cluster existant. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex. Cliquez sur Aller sur le noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Que faire ensuite

Lancer un essai et passer à la production (chapitre suivant)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Avant de commencer

1	Le cas échéant, synchronisez le `HdsTrialGroup` objet de groupe. Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le `HdsTrialGroup` objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

Passer de l'essai à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Création d'une nouvelle configuration pour préparer un nouveau centre de données.

Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l'outil d'installation, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrez le nouveau nœud dans Control Hub.

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .
3	Rendez-vous sur la page Trust Store & Proxy.
4	Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

Que faire ensuite

Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

Récupération après sinistre à l'aide du centre de données en attente

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'false'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

(Facultatif) Démonter l'ISO après la configuration HDS

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Alertes

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec de l'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -in hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName: kms-private-key`. Exemple : bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Que faire ensuite

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer des proxys Squid pour la sécurité des données hybrides

Websocket ne peut pas se connecter via le proxy Squid

Calamars 4 et 5

Ajouter le on_unsupported_protocol directive à squid.conf:

on_unsupported_protocol tunnel all

Calamar 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Préface

Informations nouvelles et modifiées

Date

Modifications effectuées

20 octobre 2023

Mise à jour des informations dans Exigences du serveur de base de données.
Ajout de la configuration du centre de données en attente pour la reprise après sinistre.
Mise à jour des informations dans le centre de données en attente pour la reprise après sinistre et la reprise après sinistre à l'aide du centre de données en attente.

07 août 2023

Une remarque a été ajoutée dans Télécharger les fichiers d'installation.
Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

23 mai 2023

Suppression des informations de Exigences du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte.
Mise à jour des informations dans Exigences de connectivité externe et ajout du Canada au tableau des hôtes de CI.
Ajout d'une note dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le cloud.

06 décembre 2022

Les images de l'outil de configuration HDS sont maintenant hébergées dans le ciscocitg référentiel dockerhub.
Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relfecter les modifications dans les commandes.

23 novembre 2022

Les nœuds HDS peuvent maintenant utiliser l'authentification Windows contre Microsoft SQL Server.

Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification.

Mise à jour de Créer une configuration ISO pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds.
Mise à jour de la rubrique Exigences du serveur de base de données avec les nouvelles versions minimum requises (PostgreSQL 10).

13 octobre 2021

Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

24 juin 2021

Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

30 avril 2021

Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

24 février 2021

L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

2 février 2021

HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

11 janvier 2021

Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

13 octobre 2020

Mise à jour de Télécharger les fichiers d'installation.

8 octobre 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

14 août 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

5 août 2020

Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

16 juin 2020

Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

4 juin 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

29 mai 2020

5 mai 2020

Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

21 avril 2020

Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

1er avril 2020

Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

20 février 2020 Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.

4 février 2020 Mise à jour des Exigences du serveur proxy.

16 décembre 2019 Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.

19 novembre 2019

Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

Prise en charge du proxy
Configurer le nœud HDS pour l'intégration du proxy
Désactiver le mode de résolution DNS externe bloqué

8 novembre 2019

Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

Mise à jour des sections suivantes en conséquence :

Flux des tâches de déploiement de la sécurité des données hybrides
Installer le fichier OVA de l'hôte HDS
Configurer la machine virtuelle de sécurité des données hybrides

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

6 septembre 2019

Ajout du standard SQL Server aux exigences du serveur de base de données.

20 août 2019

Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

Prise en charge du proxy
Exigences du serveur proxy
Configurer le nœud HDS pour l'intégration du proxy

6 mars 2019

Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement.
Ajout de l'aperçu du flux de tâches de déploiement de la sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides.

Notez que jusqu'à ce que vous commenciez un essai (en utilisant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
Ajout du Trial to Production Task Flow dans le chapitre Run a Trial and Move to Production.

28 février 2019

Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

26 février 2019

Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.
Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

24 janvier 2019

5 novembre 2018

Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
Mise à jour de l'étape clé du niveau d'accès dans Créer une configuration ISO pour les hôtes HDS pour qu'elle corresponde à l'interface.

19 octobre 2018

Divisez les informations de connexion du pare-feu en exigences du nœud et en exigences de la machine de configuration ISO dans Remplir les prérequis pour la sécurité des données hybrides.

31 juillet 2018

Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et du pare-feu pour Remplir les conditions préalables à la sécurité des données hybrides.

21 mai 2018

Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.
L'application Cisco Spark est maintenant l'application Webex.
Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

11 avril 2018

Ajout du centre de données en attente pour la reprise après sinistre.
Mise à jour de Remplir les conditions préalables à la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données.
Mise à jour de la reprise après sinistre en utilisant le centre de données en attente.

22 février 2018

Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil de configuration HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

15 février 2018

Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

18 janvier 2018

Ajout d'une annexe, Trafic entre les nœuds HDS et le Cloud.
Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides.
Modifié index.docker.io en *.docker.io et ajouté *.cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Terminer les prérequis pour la sécurité des données hybrides.
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour indiquer que si l'hôte de base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide d'adresses IP.

2 novembre 2017

Clarification de la synchronisation du répertoire du HdsTrialGroup.
Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

18 août 2017

Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.

Collaborer avec d’autres organisations

Attentes concernant le déploiement de la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.

Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.

Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus de configuration de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

Modèle de déploiement de la sécurité des données hybrides

Modèle de déploiement de la sécurité des données hybrides

Nous ne prenons en charge qu’un seul cluster par organisation.

Mode d'évaluation de la sécurité des données hybrides

Centre de données en attente pour la reprise après sinistre

Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en attente pour la reprise après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

Avant de commencer

Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'true'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

Que faire ensuite

Prise en charge du proxy

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP : affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucun : aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
  - Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et de proxy

Mode de résolution DNS externe bloqué (configurations de proxy explicites)

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Exigences relatives aux licences Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Configuration minimale requise pour Docker Desktop

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides
Configuration minimale requise	Détails
Signé par une autorité de certification (AC) approuvée	Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, `hds.company.com`. Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.
Signature non SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.
Formaté en tant que fichier PKCS #12 protégé par mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

Exigences de l'organisateur virtuel

Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.

Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Exigences du serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

Tableau 2. Exigences du serveur de base de données par type de base de données

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Microsoft SQL Server

Pilote Postgres JDBC driver 42.2.5

Pilote SQL Server JDBC 4.6

Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

Exigences de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	HTTPS et WSS sortants	Serveurs Webex : .wbx2.com .ciscospark.com Tous les organisateurs Common Identity Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex
Outil de configuration HDS	TCP	443	HTTPS sortant	*.wbx2.com Tous les organisateurs Common Identity hub.docker.com

Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

Région	URL de l'hôte Common Identity
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Exigences du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

Proxy transparent : Cisco Web Security Appliance (WSA).

Proxy explicite : Squid.

Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPS
- Authentification de base avec HTTP ou HTTPS
- Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

Remplissez les prérequis pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)
Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :
- le nom d'hôte ou l'adresse IP (hôte) et le port
- le nom de la base de données (dbname) pour le stockage des clés
- le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

Configurer un cluster de sécurité des données hybrides

Flux des tâches de déploiement de la sécurité des données hybrides

Avant de commencer

Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

Configurer la machine virtuelle de sécurité des données hybrides

Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

Configurer un cluster de sécurité des données hybrides

Terminez la configuration du cluster.

Lancer un essai et passer à la production (chapitre suivant)

Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Télécharger les fichiers d'installation

Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.

Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

Créer une configuration ISO pour les hôtes HDS

Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

Avant de commencer

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
- Identifiants de base de données
- Mises à jour des certificats
- Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :

docker login -u hdscustomersro

À l'invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

Sur la page Importation ISO, vous avez les options suivantes :

Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.

Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
Si votre certificat est OK, cliquez sur Continuer.
Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.

Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.
(Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :
- Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.
- Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.
Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

Exemple :
dbhost.example.org:1433 ou 198.51.100.17:1433

Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433
Saisissez le Nom de la base de données.
Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

Sélectionnez un mode de connexion à la base de données TLS :

Mode

Description

Préférer TLS (option par défaut)

Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

TLS requis

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

Exiger TLS et vérifier le signataire du certificat

Ce mode n’est pas applicable aux bases de données SQL Server.

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.
Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Sur la page Journaux système, configurez votre serveur Syslogd :

Saisissez l'URL du serveur syslog.

Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

Exemple :
udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.
Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP
- Octet nul -- \x00
- Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.
Cliquez sur Continuer.

app_datasource_connection_pool_maxSize: 10

Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

Pour arrêter l'outil d'installation, tapez CTRL+C.

Que faire ensuite

Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

Installer le fichier OVA de l'hôte HDS

Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

Sélectionnez FichierDéployer le modèle OVF…

Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

Vérifiez les détails du modèle, puis cliquez sur Suivant.

Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.

Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

Astuces de dépannage

Configurer la machine virtuelle de sécurité des données hybrides

1	Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Connexion : `admin` Mot de passe : `cisco` Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.
3	Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.
4	Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
5	(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
6	Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

Télécharger et monter l'ISO de configuration HDS

Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

Avant de commencer

Téléchargez le fichier ISO depuis votre ordinateur :

Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.
Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.
Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.
Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.
Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.
Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

Monter le fichier ISO :

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.
Cochez Connecté et Connecté à la mise sous tension.
Enregistrez vos modifications et redémarrez la machine virtuelle.

Que faire ensuite

Configurer le nœud HDS pour l'intégration du proxy

Avant de commencer

Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
Exigences du serveur proxy

1	Saisissez l’URL de configuration du nœud HDS `https://[HDS Node IP or FQDN]/setup` dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez dans Trust Store & Proxy, puis choisissez une option : Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise. Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise. Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS). Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes : IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy. Type d'authentification—Choisissez parmi les types d'authentification suivants : Aucun : aucune autre authentification n'est requise. Disponible pour les proxys HTTP ou HTTPS. Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64. Disponible pour les proxys HTTP ou HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau. Disponible uniquement pour les proxys HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.
3	Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.
5	Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.
6	Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes.
7	Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

Enregistrer le premier nœud dans le cluster

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
4	Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.
5	Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"
6	Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
9	Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
10	Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

Créer et enregistrer d'autres nœuds

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.
2	Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.
3	Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.
4	Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.
5	Enregistrer le nœud. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources. La page Ressources de sécurité des données hybrides s'affiche. Cliquez sur Ajouter une ressource. Dans le premier champ, sélectionnez le nom de votre cluster existant. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex. Cliquez sur Aller sur le noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Que faire ensuite

Lancer un essai et passer à la production (chapitre suivant)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Avant de commencer

1	Le cas échéant, synchronisez le `HdsTrialGroup` objet de groupe. Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le `HdsTrialGroup` objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

Passer de l'essai à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Création d'une nouvelle configuration pour préparer un nouveau centre de données.

Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l'outil d'installation, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrez le nouveau nœud dans Control Hub.

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .
3	Rendez-vous sur la page Trust Store & Proxy.
4	Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

Que faire ensuite

Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

Récupération après sinistre à l'aide du centre de données en attente

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'false'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

(Facultatif) Démonter l'ISO après la configuration HDS

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Alertes

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec de l'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -in hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName: kms-private-key`. Exemple : bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Que faire ensuite

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer des proxys Squid pour la sécurité des données hybrides

Websocket ne peut pas se connecter via le proxy Squid

Calamars 4 et 5

Ajouter le on_unsupported_protocol directive à squid.conf:

on_unsupported_protocol tunnel all

Calamar 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Préface

Informations nouvelles et modifiées

Date

Modifications effectuées

20 octobre 2023

Mise à jour des informations dans Exigences du serveur de base de données.
Ajout de la configuration du centre de données en attente pour la reprise après sinistre.
Mise à jour des informations dans le centre de données en attente pour la reprise après sinistre et la reprise après sinistre à l'aide du centre de données en attente.

07 août 2023

Une remarque a été ajoutée dans Télécharger les fichiers d'installation.
Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

23 mai 2023

Suppression des informations de Exigences du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte.
Mise à jour des informations dans Exigences de connectivité externe et ajout du Canada au tableau des hôtes de CI.
Ajout d'une note dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le cloud.

06 décembre 2022

Les images de l'outil de configuration HDS sont maintenant hébergées dans le ciscocitg référentiel dockerhub.
Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relfecter les modifications dans les commandes.

23 novembre 2022

Les nœuds HDS peuvent maintenant utiliser l'authentification Windows contre Microsoft SQL Server.

Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification.

Mise à jour de Créer une configuration ISO pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds.
Mise à jour de la rubrique Exigences du serveur de base de données avec les nouvelles versions minimum requises (PostgreSQL 10).

13 octobre 2021

Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

24 juin 2021

Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

30 avril 2021

Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

24 février 2021

L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

2 février 2021

HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

11 janvier 2021

Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

13 octobre 2020

Mise à jour de Télécharger les fichiers d'installation.

8 octobre 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

14 août 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

5 août 2020

Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

16 juin 2020

Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

4 juin 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

29 mai 2020

5 mai 2020

Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

21 avril 2020

Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

1er avril 2020

Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

20 février 2020 Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.

4 février 2020 Mise à jour des Exigences du serveur proxy.

16 décembre 2019 Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.

19 novembre 2019

Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

Prise en charge du proxy
Configurer le nœud HDS pour l'intégration du proxy
Désactiver le mode de résolution DNS externe bloqué

8 novembre 2019

Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

Mise à jour des sections suivantes en conséquence :

Flux des tâches de déploiement de la sécurité des données hybrides
Installer le fichier OVA de l'hôte HDS
Configurer la machine virtuelle de sécurité des données hybrides

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

6 septembre 2019

Ajout du standard SQL Server aux exigences du serveur de base de données.

20 août 2019

Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

Prise en charge du proxy
Exigences du serveur proxy
Configurer le nœud HDS pour l'intégration du proxy

6 mars 2019

Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement.
Ajout de l'aperçu du flux de tâches de déploiement de la sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides.

Notez que jusqu'à ce que vous commenciez un essai (en utilisant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
Ajout du Trial to Production Task Flow dans le chapitre Run a Trial and Move to Production.

28 février 2019

Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

26 février 2019

Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.
Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

24 janvier 2019

5 novembre 2018

Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
Mise à jour de l'étape clé du niveau d'accès dans Créer une configuration ISO pour les hôtes HDS pour qu'elle corresponde à l'interface.

19 octobre 2018

Divisez les informations de connexion du pare-feu en exigences du nœud et en exigences de la machine de configuration ISO dans Remplir les prérequis pour la sécurité des données hybrides.

31 juillet 2018

Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et du pare-feu pour Remplir les conditions préalables à la sécurité des données hybrides.

21 mai 2018

Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.
L'application Cisco Spark est maintenant l'application Webex.
Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

11 avril 2018

Ajout du centre de données en attente pour la reprise après sinistre.
Mise à jour de Remplir les conditions préalables à la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données.
Mise à jour de la reprise après sinistre en utilisant le centre de données en attente.

22 février 2018

Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil de configuration HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

15 février 2018

Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

18 janvier 2018

Ajout d'une annexe, Trafic entre les nœuds HDS et le Cloud.
Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides.
Modifié index.docker.io en *.docker.io et ajouté *.cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Terminer les prérequis pour la sécurité des données hybrides.
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour indiquer que si l'hôte de base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide d'adresses IP.

2 novembre 2017

Clarification de la synchronisation du répertoire du HdsTrialGroup.
Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

18 août 2017

Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.

Collaborer avec d’autres organisations

Attentes concernant le déploiement de la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.

Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.

Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus de configuration de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

Modèle de déploiement de la sécurité des données hybrides

Modèle de déploiement de la sécurité des données hybrides

Nous ne prenons en charge qu’un seul cluster par organisation.

Mode d'évaluation de la sécurité des données hybrides

Centre de données en attente pour la reprise après sinistre

Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en attente pour la reprise après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

Avant de commencer

Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'true'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

Que faire ensuite

Prise en charge du proxy

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP : affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucun : aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
  - Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et de proxy

Mode de résolution DNS externe bloqué (configurations de proxy explicites)

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Exigences relatives aux licences Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Configuration minimale requise pour Docker Desktop

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides
Configuration minimale requise	Détails
Signé par une autorité de certification (AC) approuvée	Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, `hds.company.com`. Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.
Signature non SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.
Formaté en tant que fichier PKCS #12 protégé par mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

Exigences de l'organisateur virtuel

Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.

Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Exigences du serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

Tableau 2. Exigences du serveur de base de données par type de base de données

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Microsoft SQL Server

Pilote Postgres JDBC driver 42.2.5

Pilote SQL Server JDBC 4.6

Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

Exigences de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	HTTPS et WSS sortants	Serveurs Webex : .wbx2.com .ciscospark.com Tous les organisateurs Common Identity Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex
Outil de configuration HDS	TCP	443	HTTPS sortant	*.wbx2.com Tous les organisateurs Common Identity hub.docker.com

Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

Région	URL de l'hôte Common Identity
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Exigences du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

Proxy transparent : Cisco Web Security Appliance (WSA).

Proxy explicite : Squid.

Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPS
- Authentification de base avec HTTP ou HTTPS
- Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

Remplissez les prérequis pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)
Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :
- le nom d'hôte ou l'adresse IP (hôte) et le port
- le nom de la base de données (dbname) pour le stockage des clés
- le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

Configurer un cluster de sécurité des données hybrides

Flux des tâches de déploiement de la sécurité des données hybrides

Avant de commencer

Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

Configurer la machine virtuelle de sécurité des données hybrides

Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

Configurer un cluster de sécurité des données hybrides

Terminez la configuration du cluster.

Lancer un essai et passer à la production (chapitre suivant)

Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Télécharger les fichiers d'installation

Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.

Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

Créer une configuration ISO pour les hôtes HDS

Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

Avant de commencer

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
- Identifiants de base de données
- Mises à jour des certificats
- Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :

docker login -u hdscustomersro

À l'invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

Sur la page Importation ISO, vous avez les options suivantes :

Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.

Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
Si votre certificat est OK, cliquez sur Continuer.
Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.

Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.
(Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :
- Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.
- Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.
Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

Exemple :
dbhost.example.org:1433 ou 198.51.100.17:1433

Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433
Saisissez le Nom de la base de données.
Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

Sélectionnez un mode de connexion à la base de données TLS :

Mode

Description

Préférer TLS (option par défaut)

Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

TLS requis

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

Exiger TLS et vérifier le signataire du certificat

Ce mode n’est pas applicable aux bases de données SQL Server.

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.
Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

Sur la page Journaux système, configurez votre serveur Syslogd :

Saisissez l'URL du serveur syslog.

Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

Exemple :
udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.
Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP
- Octet nul -- \x00
- Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.
Cliquez sur Continuer.

app_datasource_connection_pool_maxSize: 10

Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

Pour arrêter l'outil d'installation, tapez CTRL+C.

Que faire ensuite

Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

Installer le fichier OVA de l'hôte HDS

Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

Sélectionnez FichierDéployer le modèle OVF…

Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

Vérifiez les détails du modèle, puis cliquez sur Suivant.

Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.

Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

Astuces de dépannage

Configurer la machine virtuelle de sécurité des données hybrides

1	Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Connexion : `admin` Mot de passe : `cisco` Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.
3	Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.
4	Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
5	(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
6	Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

Télécharger et monter l'ISO de configuration HDS

Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

Avant de commencer

Téléchargez le fichier ISO depuis votre ordinateur :

Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.
Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.
Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.
Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.
Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.
Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

Monter le fichier ISO :

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.
Cochez Connecté et Connecté à la mise sous tension.
Enregistrez vos modifications et redémarrez la machine virtuelle.

Que faire ensuite

Configurer le nœud HDS pour l'intégration du proxy

Avant de commencer

Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
Exigences du serveur proxy

1	Saisissez l’URL de configuration du nœud HDS `https://[HDS Node IP or FQDN]/setup` dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez dans Trust Store & Proxy, puis choisissez une option : Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise. Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise. Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS). Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes : IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy. Type d'authentification—Choisissez parmi les types d'authentification suivants : Aucun : aucune autre authentification n'est requise. Disponible pour les proxys HTTP ou HTTPS. Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64. Disponible pour les proxys HTTP ou HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau. Disponible uniquement pour les proxys HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.
3	Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.
5	Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.
6	Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes.
7	Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

Enregistrer le premier nœud dans le cluster

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
4	Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.
5	Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"
6	Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
9	Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
10	Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

Créer et enregistrer d'autres nœuds

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.
2	Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.
3	Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.
4	Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.
5	Enregistrer le nœud. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources. La page Ressources de sécurité des données hybrides s'affiche. Cliquez sur Ajouter une ressource. Dans le premier champ, sélectionnez le nom de votre cluster existant. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex. Cliquez sur Aller sur le noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Que faire ensuite

Lancer un essai et passer à la production (chapitre suivant)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Avant de commencer

1	Le cas échéant, synchronisez le `HdsTrialGroup` objet de groupe. Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le `HdsTrialGroup` objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

Passer de l'essai à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Création d'une nouvelle configuration pour préparer un nouveau centre de données.

Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

Description	Variable
proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

Dans les environnements normaux :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre des images Docker, saisissez ce qui suit :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements normaux :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans les environnements standard sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements standard avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l'outil d'installation, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrez le nouveau nœud dans Control Hub.

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (la page par défaut). Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .
3	Rendez-vous sur la page Trust Store & Proxy.
4	Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

Que faire ensuite

Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

Récupération après sinistre à l'aide du centre de données en attente

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'false'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

(Facultatif) Démonter l'ISO après la configuration HDS

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Alertes

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec de l'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -in hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName: kms-private-key`. Exemple : bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Que faire ensuite

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer des proxys Squid pour la sécurité des données hybrides

Websocket ne peut pas se connecter via le proxy Squid

Calamars 4 et 5

Ajouter le on_unsupported_protocol directive à squid.conf:

on_unsupported_protocol tunnel all

Calamar 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Préface

Informations nouvelles et modifiées

Date

Modifications effectuées

20 octobre 2023

Mise à jour des informations dans Exigences du serveur de base de données.
Ajout de la configuration du centre de données en attente pour la reprise après sinistre.
Mise à jour des informations dans le centre de données en attente pour la reprise après sinistre et la reprise après sinistre à l'aide du centre de données en attente.

07 août 2023

Une remarque a été ajoutée dans Télécharger les fichiers d'installation.
Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

23 mai 2023

Suppression des informations de Exigences du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte.
Mise à jour des informations dans Exigences de connectivité externe et ajout du Canada au tableau des hôtes de CI.
Ajout d'une note dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le cloud.

06 décembre 2022

Les images de l'outil de configuration HDS sont maintenant hébergées dans le référentiel dockerhub ciscocitg .
Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relfecter les modifications dans les commandes.

23 novembre 2022

Les nœuds HDS peuvent maintenant utiliser l'authentification Windows contre Microsoft SQL Server.

Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification.

Mise à jour de Créer une configuration ISO pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds.
Mise à jour de la rubrique Exigences du serveur de base de données avec les nouvelles versions minimum requises (PostgreSQL 10).

13 octobre 2021

Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

24 juin 2021

Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

30 avril 2021

Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

24 février 2021

L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

2 février 2021

HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

11 janvier 2021

Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

13 octobre 2020

Mise à jour de Télécharger les fichiers d'installation.

8 octobre 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

14 août 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

5 août 2020

Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

16 juin 2020

Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

4 juin 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

29 mai 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

5 mai 2020

Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

21 avril 2020

Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

1er avril 2020

Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

20 février 2020 Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.

4 février 2020 Mise à jour des Exigences du serveur proxy.

16 décembre 2019 Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.

19 novembre 2019

Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

Prise en charge du proxy
Configurer le nœud HDS pour l’intégration du proxy
Désactiver le mode de résolution DNS externe bloqué

8 novembre 2019

Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

Mise à jour des sections suivantes en conséquence :

Flux des tâches de déploiement de la sécurité des données hybrides
Installer le fichier OVA de l'hôte HDS
Configurer la machine virtuelle de sécurité des données hybrides

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

6 septembre 2019

Ajout du standard SQL Server aux exigences du serveur de base de données.

20 août 2019

Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

Prise en charge du proxy
Configuration requise du serveur proxy
Configurer le nœud HDS pour l’intégration du proxy

13 juin 2019 Mise à jour du Flux des tâches d'essai par rapport à la production avec un rappel pour synchroniser l'objet du groupe HdsTrialGroup avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.

6 mars 2019

Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement.
Ajout de l'aperçu du flux de tâches de déploiement de la sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides.

Notez que jusqu'à ce que vous commenciez un essai (en utilisant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
Ajout du Trial to Production Task Flow dans le chapitre Run a Trial and Move to Production.

28 février 2019

Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

26 février 2019

Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.
Suppression des URL de destination dans le tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

24 janvier 2019

5 novembre 2018

Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
Mise à jour de l'étape clé du niveau d'accès dans Créer une configuration ISO pour les hôtes HDS pour qu'elle corresponde à l'interface.

19 octobre 2018

Divisez les informations de connexion du pare-feu en exigences du nœud et en exigences de la machine de configuration ISO dans Remplir les prérequis pour la sécurité des données hybrides.

31 juillet 2018

Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et du pare-feu pour Remplir les conditions préalables à la sécurité des données hybrides.

21 mai 2018

Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.
L'application Cisco Spark est maintenant l'application Webex.
Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

11 avril 2018

Ajout du centre de données en attente pour la reprise après sinistre.
Mise à jour de Remplir les conditions préalables à la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données.
Mise à jour de la reprise après sinistre en utilisant le centre de données en attente.

22 février 2018

Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil de configuration HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

15 février 2018

Dans le tableau Exigences du certificat X.509 , spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

18 janvier 2018

Ajout d'une annexe, Trafic entre les nœuds HDS et le Cloud.
Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides.
Modifié index.docker.io en *.docker.io et ajouté *.cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Compléter les prérequis pour la sécurité des données hybrides.
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour indiquer que si l'hôte de base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide d'adresses IP.

2 novembre 2017

Clarification de la synchronisation du répertoire du HdsTrialGroup.
Les instructions de chargement du fichier de configuration ISO pour montage sur les nœuds VM ont été corrigées.

18 août 2017

Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.

Collaborer avec d’autres organisations

Attentes concernant le déploiement de la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.

Gérer la sauvegarde et la restauration de la base de données et la configuration ISO.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.

Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus de configuration de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

Modèle de déploiement de la sécurité des données hybrides

Modèle de déploiement de la sécurité des données hybrides

Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex n’est mis à niveau qu’un nœud à la fois.)

Nous ne prenons en charge qu’un seul cluster par organisation.

Mode d'évaluation de la sécurité des données hybrides

Centre de données en attente pour la reprise après sinistre

Avant le basculement, le centre de données A a des nœuds HDS actifs et la base de données principale PostgreSQL ou Microsoft SQL Server, tandis que B a une copie du fichier ISO avec des configurations supplémentaires, des machines virtuelles qui sont enregistrées dans l'organisation et une base de données en attente. Après le basculement, le centre de données B a des nœuds HDS actifs et la base de données principale, tandis que A a des machines virtuelles non enregistrées et une copie du fichier ISO et la base de données est en mode veille. — ***Basculement manuel vers le centre de données de veille***

Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en attente pour la reprise après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

Avant de commencer

Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

Sur la page Paramètres avancés , ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

 Mode passif : 'vrai'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >Lecteur CD/DVD 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

Que faire ensuite

Après avoir configuré passiveMode dans le fichier ISO et l'avoir enregistré, vous pouvez créer une autre copie du fichier ISO sans la configuration passiveMode et l'enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans configuration passiveMode peut vous aider dans un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

Prise en charge du proxy

La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
Proxy transparent non inspectant—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est requise.
Proxy transparent de tunneling ou d'inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
Proxy explicite—Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FQDN proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP — affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucun—Aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
    
    Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
  - Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
    
    Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et proxy

Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.

Mode de résolution DNS externe bloqué (configurations proxy explicites)

Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Exigences relatives aux licences Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Configuration minimale requise pour Docker Desktop

Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides
Exigences	Détails
Signé par une autorité de certification (AC) approuvée	Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, `hds.company.com`. Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.
Signature non SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.
Formaté en tant que fichier PKCS #12 protégé par mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

Exigences de l'organisateur virtuel

Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.

Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Exigences du serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

Tableau 2. Exigences du serveur de base de données par type de base de données

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Microsoft SQL Server

Pilote Postgres JDBC driver 42.2.5

Pilote SQL Server JDBC 4.6

Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.

Exigences de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	HTTPS et WSS sortants	Serveurs Webex : .wbx2.com .ciscospark.com Tous les organisateurs Common Identity Autres URL listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex
Outil de configuration HDS	TCP	443	HTTPS sortant	*.wbx2.com Tous les organisateurs Common Identity hub.docker.com

Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

Région	URL de l'hôte Common Identity
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Configuration requise du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.

Proxy transparent — Appliance Cisco Web Security (WSA).

Proxy explicite — squid.

Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:). Pour contourner ce problème, voir Configurer des proxys Squid pour la sécurité des données hybrides.

Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPs
- Authentification de base avec HTTP ou HTTPs
- Authentification Digest avec HTTPs uniquement
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à wbx2.com et ciscospark.com résoudra le problème.

Remplissez les prérequis pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenez une chaîne de certificats contenant un certificat X.509, une clé privée et tous les certificats intermédiaires. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)
Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :
- le nom d'hôte ou l'adresse IP (hôte) et le port
- le nom de la base de données (dbname) pour le stockage des clés
- le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup et ajoutez des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. L'objet HdsTrialGroup doit être synchronisé avec le Cloud avant que vous puissiez démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le menu Configuration > Sélection d’objet de Directory Connector. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)

Configurer un cluster de sécurité des données hybrides

Hybrid Data Security Deployment Task Flow

Avant de commencer

Download Installation Files

Download the OVA file to your local machine for later use.

Create a Configuration ISO for the HDS Hosts

Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

Install the HDS Host OVA

Create a virtual machine from the OVA file and perform initial configuration, such as network settings.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Set up the Hybrid Data Security VM

Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

Upload and Mount the HDS Configuration ISO

Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

Configurer le nœud HDS pour l’intégration du proxy

If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

Create and Register More Nodes

Complete the cluster setup.

Run a Trial and Move to Production (next chapter)

Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Download Installation Files

In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.

In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.

You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.

Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

Select No to indicate that you haven’t set up the node yet, and then click Next.

The OVA file automatically begins to download. Save the file to a location on your machine.

Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

Create a Configuration ISO for the HDS Hosts

The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

Avant de commencer

L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.

If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ce tableau fournit quelques variables possibles pour l’environnement :

Description	Variable
Proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
- Database credentials
- Certificate updates
- Changes to authorization policy
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

Dans les environnements réguliers :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

Pour vous connectez au registre d’image Docker, saisissez ce qui suit :

docker login -u hdscustomersro

À l’invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements réguliers :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

Dans les environnements réguliers sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In regular environments with an HTTPS proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

On the Setup Tool overview page, click Get Started.

On the ISO Import page, you have these options:

No—If you’re creating your first HDS node, you don't have an ISO file to upload.
Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.

Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
If your certificate is OK, click Continue.
If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.

Enter the database address and account for HDS to access your key datastore:

Select your Database Type (PostgreSQL or Microsoft SQL Server).

If you choose Microsoft SQL Server, you get an Authentication Type field.
(Microsoft SQL Server only) Select your Authentication Type:
- Basic Authentication: You need a local SQL Server account name in the Username field.
- Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.
Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

Exemple:
dbhost.example.org:1433 or 198.51.100.17:1433

You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433
Enter the Database Name.
Enter the Username and Password of a user with all privileges on the key storage database.

Select a TLS Database Connection Mode:

Mode

Description

Prefer TLS (default option)

Les nodes HDS ne nécessitent pas que TLS se connecte au serveur de base de données. If you enable TLS on the database server, the nodes attempt an encrypted connection.

Demander TLS

Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

Demander TLS et vérifier le signataire du certificat

This mode isn’t applicable for SQL Server databases.

Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. S’ils ne correspondent pas, le nœud perd la connexion.

Utilisez le contrôle de la certificat racine base de données en dessous du bas pour charger le certificat racine pour cette option.

Demander TLS et vérifier le signataire du certificat et le nom d’hôte

Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. S’ils ne correspondent pas, le nœud perd la connexion.
The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Les noms doivent correspondre exactement, ou le nœud perd la connexion.

Utilisez le contrôle de la certificat racine base de données en dessous du bas pour charger le certificat racine pour cette option.

When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

On the System Logs page, configure your Syslogd server:

Enter the syslog server URL.

If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

Exemple:
udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.
From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP
- Null byte -- \x00
- Newline -- \n—Select this choice for Graylog and Rsyslog TCP.
Cliquez sur Continuer.

(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

app_datasource_connection_pool_maxTaille : 10

Click Continue on the Reset Service Accounts Password screen.

Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

Click Download ISO File. Save the file in a location that's easy to find.

Make a backup copy of the ISO file on your local system.

Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

Pour arrêter l’outil d’installation, tapez CTRL + C.

Que faire ensuite

Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.

We never have a copy of this key and can't help if you lose it.

Install the HDS Host OVA

Use this procedure to create a virtual machine from the OVA file.

Use the VMware vSphere client on your computer to log into the ESXi virtual host.

Sélectionnez FichierDéployer le modèle OVF…

In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

On the Select a compute resource page, choose the destination compute resource, and then click Next.

A validation check runs. After it finishes, the template details appear.

Verify the template details and then click Next.

If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

On the Select storage page, click Next to accept the default disk format and VM storage policy.

On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

On the Customize template page, configure the following network settings:

Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Les majuscules ne sont actuellement pas supportées.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

IP Address— Enter the IP address for the internal interface of the node.

Your node should have an internal IP address and DNS name. DHCP is not supported.
Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.

Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Right-click the node VM, and then choose Power > Power On.

The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

Astuces de dépannage

Set up the Hybrid Data Security VM

Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

1	In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Use the following default login and password to sign in and change the credentials: Connexion : `Admin` Mot de passe : `Cisco` Since you are signing in to your VM for the first time, you are required to change the administrator password.
3	If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.
4	Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.
5	(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
6	Save the network configuration and reboot the VM so that the changes take effect.

Upload and Mount the HDS Configuration ISO

Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

Avant de commencer

Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

Upload the ISO file from your computer:

In the VMware vSphere client's left navigation pane, click on the ESXi server.
On the Configuration tab's Hardware list, click Storage.
In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.
Click on the Upload Files icon, and then click Upload File.
Browse to the location where you downloaded the ISO file on your computer and click Open.
Click Yes to accept the upload/download operation warning, and close the datastore dialog.

Mount the ISO file:

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Click OK to accept the restricted edit options warning.
Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.
Check Connected and Connect at power on.
Save your changes and reboot the virtual machine.

Que faire ensuite

If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

Configurer le nœud HDS pour l’intégration du proxy

Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.

Avant de commencer

See Proxy Support for an overview of the supported proxy options.
Configuration requise du serveur proxy

1	Entrez l’URL de configuration du nœud HDS `https://[HDS du nœud IP ou FDQN]/Setup` dans un navigateur Web, saisissez les identifiants d’administrateur que vous avez configurés pour le nœud, puis cliquez sur connexion.
2	Allez à Trust Store & proxy, puis choisissez une option : No Proxy—The default option before you integrate a proxy. Aucune mise à jour du certificat n’est requise. Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Aucune mise à jour du certificat n’est requise. Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Aucune modification de la configuration HTTPs n’est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs). Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Après avoir choisi cette option, vous devez saisir les informations suivantes : Proxy IP/FQDN—Address that can be used to reach the proxy machine. Proxy Port—A port number that the proxy uses to listen for proxied traffic. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Choisissez une option en fonction de ce que votre Serveur Proxy prend en charge. Authentication Type—Choose from among the following authentication types: None—No further authentication is required. Disponible pour les proxys HTTP ou HTTPs. Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Utilise le codage Base64. Disponible pour les proxys HTTP ou HTTPs. Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe. Digest—Used to confirm the account before sending sensitive information. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau. Disponible uniquement pour les proxies HTTPs. Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite.
3	Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy. Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.
5	Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet.
6	Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e). Le nœud redémarre dans quelques minutes.
7	Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy.

Register the First Node in the Cluster

This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. A cluster contains one or more nodes deployed to provide redundancy.

Avant de commencer

Lorsque vous commencez l'Enregistrement de noeud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
4	Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.
5	In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Examples: "San Francisco" or "New York" or "Dallas"
6	In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
9	Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
10	Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

Create and Register More Nodes

To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

Avant de commencer

Lorsque vous commencez l'Enregistrement de noeud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.
2	Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.
3	On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.
4	If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.
5	Register the node. In https://admin.webex.com, select Services from the menu on the left side of the screen. In the Hybrid Services section, find the Hybrid Data Security card and click Resources. The Hybrid Data Security Resources page appears. Click Add Resource. In the first field, select the name of your existing cluster. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. A message appears indicating you can register your node to the Webex cloud. Cliquez sur Aller sur le noeud. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Que faire ensuite

Run a Trial and Move to Production (next chapter)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Avant de commencer

Configurer un cluster de sécurité des données hybrides

1	Le cas échéant, synchronisez l'objet du groupe `HdsTrialGroup` . Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet du groupe `HdsTrialGroup` pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet du groupe HdsTrialGroup pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION :

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid : kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uri=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY :

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uri=Host=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d'une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION :

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uri=null, kms.data.uri=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par courrier électronique. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup ; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Puis cliquez sur Enregistrer.

Passer de l'essai à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à niveau au jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.

Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.

La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

Créer une nouvelle configuration pour préparer un nouveau centre de données.

De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :

Réinitialisation logicielle—L'ancien et le nouveau mot de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.
Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.

Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.

Avant de commencer

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :

Description	Variable
Proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

Dans les environnements réguliers :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

Pour vous connectez au registre d’image Docker, saisissez ce qui suit :
```
connexion docker -u hdscustomersro
```
À l’invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

Dans les environnements réguliers :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

Dans les environnements réguliers sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec une adresse HTTPSproxy :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

Utilisez un navigateur pour vous connecter à l’host local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client Control Hub, puis cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

Pour arrêter l’outil d’installation, tapez CTRL + C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud de sécurité des données hybrides et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrer le nouveau nœud dans Control Hub.

Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.

Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (page par défaut). Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui.
3	Allez à la page proxy de la Banque de confiance & .
4	Cliquez sur Vérifier la connexion du proxy. Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non.

Que faire ensuite

Répétez le test de connexion du proxy sur chaque nœud dans votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la MV et cliquez sur Supprimer.)

Récupération après sinistre à l'aide du centre de données en attente

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

Sur la page Paramètres avancés , ajoutez la configuration ci-dessous ou supprimez la configuration Mode passif pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

 Mode passif : 'faux'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >Lecteur CD/DVD 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

(Facultatif) Démonter l'ISO après la configuration HDS

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Edit Settings > Lecteur CD/DVD et décochez Datastore ISO File.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Alertes

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec d'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai, ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront à utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et réintégration).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le en tant que `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -dans hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----START CERTIFICATE----- ### Certificat du serveur. ### ----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificat de l'AC intermédiaire. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificat de l'AC racine. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -dans hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName : kms-private-key`. Exemple: bash$ openssl pkcs12 -in hdsnode.p12 Entrez le mot de passe d'importation: MAC vérifié OK Bag Attributes friendlyName : kms-private-key localKeyID : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributs clés : Saisissez la phrase de passe PEM : Vérification - Saisissez la phrase de passage PEM : -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Que faire ensuite

Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci dans Créer une configuration ISO pour les hôtes HDS.

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer les proxys Squid pour la sécurité des données hybrides

WebSocket ne peut pas se connecter via le proxy Squid

Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:) requises par la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.

Squid 4 et 5

Ajouter la on_unsupported_protocol directive sur squid.conf :

on_unsupported_protocol tunnel tout

Squid 3.5.27

Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.

acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump épissure wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tous ssl_bump stare step2 tous ssl_bump bump step3 tous

Préface

Informations nouvelles et modifiées

Date

Modifications effectuées

20 octobre 2023

Mise à jour des informations dans Exigences du serveur de base de données.
Ajout de la configuration du centre de données en attente pour la reprise après sinistre.
Mise à jour des informations dans le centre de données en attente pour la reprise après sinistre et la reprise après sinistre à l'aide du centre de données en attente.

07 août 2023

Une remarque a été ajoutée dans Télécharger les fichiers d'installation.
Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

23 mai 2023

Suppression des informations de Exigences du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte.
Mise à jour des informations dans Exigences de connectivité externe et ajout du Canada au tableau des hôtes de CI.
Ajout d'une note dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le cloud.

06 décembre 2022

Les images de l'outil de configuration HDS sont maintenant hébergées dans le ciscocitg référentiel dockerhub.
Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relfecter les modifications dans les commandes.

23 novembre 2022

Les nœuds HDS peuvent maintenant utiliser l'authentification Windows contre Microsoft SQL Server.

Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification.

Mise à jour de Créer une configuration ISO pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds.
Mise à jour de la rubrique Exigences du serveur de base de données avec les nouvelles versions minimum requises (PostgreSQL 10).

13 octobre 2021

Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

24 juin 2021

Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

30 avril 2021

Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

24 février 2021

L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

2 février 2021

HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

11 janvier 2021

Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

13 octobre 2020

Mise à jour de Télécharger les fichiers d'installation.

8 octobre 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

14 août 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

5 août 2020

Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

16 juin 2020

Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

4 juin 2020

Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

29 mai 2020

5 mai 2020

Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

21 avril 2020

Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

1er avril 2020

Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

20 février 2020 Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.

4 février 2020 Mise à jour des Exigences du serveur proxy.

16 décembre 2019 Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.

19 novembre 2019

Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

Prise en charge du proxy
Configurer le nœud HDS pour l'intégration du proxy
Désactiver le mode de résolution DNS externe bloqué

8 novembre 2019

Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

Mise à jour des sections suivantes en conséquence :

Flux des tâches de déploiement de la sécurité des données hybrides
Installer le fichier OVA de l'hôte HDS
Configurer la machine virtuelle de sécurité des données hybrides

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

6 septembre 2019

Ajout du standard SQL Server aux exigences du serveur de base de données.

20 août 2019

Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

Prise en charge du proxy
Exigences du serveur proxy
Configurer le nœud HDS pour l'intégration du proxy

6 mars 2019

Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement.
Ajout de l'aperçu du flux de tâches de déploiement de la sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides.

Notez que jusqu'à ce que vous commenciez un essai (en utilisant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.
Ajout du Trial to Production Task Flow dans le chapitre Run a Trial and Move to Production.

28 février 2019

Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

26 février 2019

Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.
Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

24 janvier 2019

5 novembre 2018

Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
Mise à jour de l'étape clé du niveau d'accès dans Créer une configuration ISO pour les hôtes HDS pour qu'elle corresponde à l'interface.

19 octobre 2018

Divisez les informations de connexion du pare-feu en exigences du nœud et en exigences de la machine de configuration ISO dans Remplir les prérequis pour la sécurité des données hybrides.

31 juillet 2018

Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et du pare-feu pour Remplir les conditions préalables à la sécurité des données hybrides.

21 mai 2018

Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.
L'application Cisco Spark est maintenant l'application Webex.
Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

11 avril 2018

Ajout du centre de données en attente pour la reprise après sinistre.
Mise à jour de Remplir les conditions préalables à la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données.
Mise à jour de la reprise après sinistre en utilisant le centre de données en attente.

22 février 2018

Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil de configuration HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.

15 février 2018

Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

18 janvier 2018

Ajout d'une annexe, Trafic entre les nœuds HDS et le Cloud.
Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides.
Modifié index.docker.io en *.docker.io et ajouté *.cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Terminer les prérequis pour la sécurité des données hybrides.
Mise à jour de Créer une configuration ISO pour les hôtes HDS pour indiquer que si l'hôte de base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide d'adresses IP.

2 novembre 2017

Clarification de la synchronisation du répertoire du HdsTrialGroup.
Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

18 août 2017

Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.
Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.
Le message chiffré est envoyé au service de conformité pour vérification de conformité.
Le message chiffré est stocké dans le domaine de stockage.

Collaborer avec d’autres organisations

Attentes concernant le déploiement de la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
L'équipement, le logiciel et l'accès au réseau décrits dans Préparer votre environnement.

Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.
Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.

Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus de configuration de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.
Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

Modèle de déploiement de la sécurité des données hybrides

Modèle de déploiement de la sécurité des données hybrides

Nous ne prenons en charge qu’un seul cluster par organisation.

Mode d'évaluation de la sécurité des données hybrides

Centre de données en attente pour la reprise après sinistre

Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en attente pour la reprise après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

Avant de commencer

Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)
Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'true'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

Que faire ensuite

Prise en charge du proxy

Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.
Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.
Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP : affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucun—Aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.
  - Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.
    
    Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et de proxy

Mode de résolution DNS externe bloqué (configurations de proxy explicites)

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Exigences relatives aux licences Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Configuration minimale requise pour Docker Desktop

Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, consultez le billet de blog de Docker, « Docker met à jour et étend nos abonnements à nos produits ».

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides
Configuration minimale requise	Détails
Signé par une autorité de certification (AC) approuvée	Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, `hds.company.com`. Le NC ne doit pas contenir de * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.
Signature non SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.
Formaté en tant que fichier PKCS #12 protégé par mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat. Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

Exigences de l'organisateur virtuel

Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.

Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Exigences du serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

Tableau 2. Exigences du serveur de base de données par type de base de données

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Microsoft SQL Server

Pilote Postgres JDBC driver 42.2.5

Pilote SQL Server JDBC 4.6

Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

Exigences de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	HTTPS et WSS sortants	Serveurs Webex : .wbx2.com .ciscospark.com Tous les organisateurs Common Identity Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex
Outil de configuration HDS	TCP	443	HTTPS sortant	*.wbx2.com Tous les organisateurs Common Identity hub.docker.com

Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

Région	URL de l'hôte Common Identity
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Exigences du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

Proxy transparent : Cisco Web Security Appliance (WSA).

Proxy explicite : Squid.

Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPS
- Authentification de base avec HTTP ou HTTPS
- Digest authentification avec HTTPS uniquement
Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.
Les proxys qui inspectent le trafic web peuvent interférer avec les connexions des sockets web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

Remplissez les prérequis pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)
Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :
- le nom d'hôte ou l'adresse IP (hôte) et le port
- le nom de la base de données (dbname) pour le stockage des clés
- le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

Configurer un cluster de sécurité des données hybrides

Flux des tâches de déploiement de la sécurité des données hybrides

Avant de commencer

Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

Configurer la machine virtuelle de sécurité des données hybrides

Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

Configurer un cluster de sécurité des données hybrides

Terminez la configuration du cluster.

Lancer un essai et passer à la production (chapitre suivant)

Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Télécharger les fichiers d'installation

Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.

Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

Créer une configuration ISO pour les hôtes HDS

Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

Avant de commencer

L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d’un compte Control Hub avec tous les droits d’administrateur pour votre organisation.

Description	Variable
Proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :
- Identifiants de base de données
- Mises à jour des certificats
- Modification de la politique d’habilitation
Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

En environnement régulier :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre d'images Docker, saisissez les informations suivantes :

docker login -u hdscustomersro

À l'invite du mot de passe, saisissez ce hachage :

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Téléchargez la dernière image stable pour votre environnement :

En environnement régulier :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans des environnements réguliers sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, vous voyez « Écoute du serveur express sur le port 8080 ».

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

Sur la page Importation ISO, vous avez les options suivantes :

Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.

Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
Si votre certificat est OK, cliquez sur Continuer.
Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.

Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.
(Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :
- Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.
- Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.
Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

Exemple :
dbhost.example.org:1433 ou 198.51.100.17:1433

Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433
Saisissez le Nom de la base de données.
Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

Sélectionnez un mode de connexion à la base de données TLS :

Mode

Description

Préférer TLS(option par défaut)

Les nœuds HDS ne nécessitent pas de protocole TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

Exiger TLS

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

Exiger TLS et vérifier le signataire du certificat

Ce mode n’est pas applicable aux bases de données SQL Server.

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud abandonne la connexion.

Utilisez la commande Certificat racine de base de données située sous la liste déroulante pour télécharger le certificat racine pour cette option.

Exiger TLS et vérifier le signataire du certificat et le nom d'hôte

Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.
Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud abandonne la connexion.
Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, ou le nœud abandonne la connexion.

Utilisez la commande Certificat racine de base de données située sous la liste déroulante pour télécharger le certificat racine pour cette option.

Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de continuer l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

Sur la page Journaux système, configurez votre serveur Syslogd :

Saisissez l'URL du serveur syslog.

Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

Exemple :
udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.
Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP
- Octet nul -- \x00
- Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.
Cliquez sur Continuer.

app_datasource_connection_pool_maxSize: 10

Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

Pour arrêter l’outil de configuration, tapez CTRL+C.

Que faire ensuite

Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

Installer le fichier OVA de l'hôte HDS

Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

Sélectionnez FichierDéployer le modèle OVF…

Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

Vérifiez les détails du modèle, puis cliquez sur Suivant.

Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.
Le FDQN de la longueur ne doit pas dépasser 64 caractères.

Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.

Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

Astuces de dépannage

Configurer la machine virtuelle de sécurité des données hybrides

1	Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console. La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
2	Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification : Connexion : `admin` Mot de passe : `cisco` Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.
3	Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.
4	Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.
5	(Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau. Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.
6	Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

Télécharger et monter l'ISO de configuration HDS

Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

Avant de commencer

Téléchargez le fichier ISO depuis votre ordinateur :

Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.
Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.
Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.
Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.
Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.
Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

Monter le fichier ISO :

dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.
Cochez Connecté et Connecté à la mise sous tension.
Enregistrez vos modifications et redémarrez la machine virtuelle.

Que faire ensuite

Configurer le nœud HDS pour l'intégration du proxy

Avant de commencer

Voir Prise en charge du proxy pour un aperçu des options de proxy prises en charge.
Exigences du serveur proxy

1	Saisissez l’URL de configuration du nœud HDS `https://[HDS Node IP or FQDN]/setup` dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez dans Trust Store & Proxy, puis choisissez une option : Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise. Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise. Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS). Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes : IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy. Type d'authentification—Choisissez parmi les types d'authentification suivants : Aucun—Aucune autre authentification n'est requise. Disponible pour les proxys HTTP ou HTTPS. Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64. Disponible pour les proxys HTTP ou HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau. Disponible uniquement pour les proxys HTTPS. Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe. Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.
3	Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy. Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.
4	Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy. Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.
5	Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.
6	Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt. Le nœud redémarre en quelques minutes.
7	Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert. La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

Enregistrer le premier nœud dans le cluster

Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Connectez-vous à https://admin.webex.com.
2	Dans le menu situé à gauche de l'écran, sélectionnez de services .
3	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer. La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
4	Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.
5	Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides. Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"
6	Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
7	Cliquez sur Aller sur le noeud.
8	Cliquez sur Continuer dans la message. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
9	Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
10	Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

Créer et enregistrer d'autres nœuds

Avant de commencer

Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.
Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

1	Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.
2	Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.
3	Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.
4	Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.
5	Enregistrer le nœud. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources. La page Ressources de sécurité des données hybrides s'affiche. Cliquez sur Ajouter une ressource. Dans le premier champ, sélectionnez le nom de votre cluster existant. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant. Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex. Cliquez sur Aller sur le noeud. Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer. Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub. Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

Que faire ensuite

Lancer un essai et passer à la production (chapitre suivant)

Lancer un essai et passer à la production

Flux des tâches d'essai à production

Avant de commencer

1	Le cas échéant, synchronisez le `HdsTrialGroup` objet de groupe. Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le `HdsTrialGroup` objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.
2	Activer l’essai Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.
3	Tester votre déploiement de sécurité des données hybrides Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.
4	Surveiller la santé de la sécurité des données hybrides Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.
5	Ajouter ou supprimer des utilisateurs de votre essai
6	Terminez la phase d’essai avec l’une des actions suivantes : Passer de l'essai à la production Mettre fin à votre essai sans passer à la production

Activer l’essai

Avant de commencer

1	Connectez-vous à https://admin.webex.com, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Start Trial. L'état du service passe en mode d'évaluation.
4	Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation. (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, `HdsTrialGroup`.)

Tester votre déploiement de sécurité des données hybrides

Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

Avant de commencer

Configurez votre déploiement de sécurité des données hybrides.
Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.
Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Envoyer des messages au nouvel espace.

Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Vous devriez trouver une entrée telle que :

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Surveiller la santé de la sécurité des données hybrides

1	Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.
2	Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres. La page Paramètres de sécurité des données hybrides s'affiche.
3	Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

Ajouter ou supprimer des utilisateurs de votre essai

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.
4	Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Puis cliquez sur Enregistrer.

Passer de l'essai à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Service Status, cliquez sur Move to Production.
4	Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

Mettre fin à votre essai sans passer à la production

1	Connectez-vous au Control Hub, puis sélectionnez Services.
2	Sous Sécurité des données hybrides, cliquez sur Paramètres.
3	Dans la section Désactiver, cliquez sur Désactiver.
4	Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

Gérer votre déploiement HDS

Gérer le déploiement HDS

Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

Configurer le calendrier de mise à niveau du cluster

Pour définir le calendrier de mise à niveau :

1	Connectez-vous au Control Hub.
2	Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.
3	Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.
4	Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.
5	Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour. Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

Modifier la configuration du nœud

Occasionnellement, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :

Modification des certificats x.509 pour cause d’expiration ou pour d’autres raisons.

Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l’inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

Créer une nouvelle configuration pour préparer un nouveau centre de données.

Par ailleurs, pour des raisons de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation arrivent à expiration, vous recevez un avis de l’équipe Webex vous invitant à réinitialiser le mot de passe de votre compte machine. (Le courrier électronique contient le texte, « Utilisez l'API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous offre deux options :

Réinitialisation logicielle—Les anciens et les nouveaux mots de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.
Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.

Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation immédiate et le remplacement du fichier ISO sur tous les nœuds.

Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

Avant de commencer

L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d’un compte Control Hub avec tous les droits d’administrateur pour votre organisation.

Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d’environnement possibles :

Description	Variable
Proxy HTTP sans authentification	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS sans authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy HTTP avec authentification	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS avec authentification	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des modifications de configuration, y compris les informations d'authentification de la base de données, les mises à jour des certificats ou les modifications de la politique d'autorisation.

En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

En environnement régulier :

docker rmi ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker rmi ciscocitg/hds-setup-fedramp:stable

Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

Pour vous connecter au registre d'images Docker, saisissez les informations suivantes :
```
docker login -u hdscustomersro
```
À l'invite du mot de passe, saisissez ce hachage :
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Téléchargez la dernière image stable pour votre environnement :

En environnement régulier :

docker pull ciscocitg/hds-setup:stable

Dans les environnements FedRAMP :

docker pull ciscocitg/hds-setup-fedramp:stable

Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

Dans des environnements réguliers sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements réguliers avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Dans les environnements FedRAMP sans proxy :

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTP :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Dans les environnements FedRAMP avec un proxy HTTPS :

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Lorsque le conteneur est en cours d'exécution, vous voyez « Écoute du serveur express sur le port 8080 ».

Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.

L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

Lorsque vous y êtes invité, saisissez vos identifiants de connexion client Control Hub, puis cliquez sur Accepter pour continuer.
Importez le fichier ISO de configuration actuel.
Suivez les invites pour terminer l'outil et télécharger le fichier mis à jour.

Pour arrêter l’outil de configuration, tapez CTRL+C.
Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

Installez l’OVA de l'hôte HDS.
Configurez la VM HDS.
Montez le fichier de configuration mis à jour.
Enregistrer le nouveau nœud dans Control Hub.

Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud tour à tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

arrêtez la machine virtuelle.
dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.
Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO et accédez à l'emplacement où vous avez téléchargé le nouveau fichier ISO de configuration.
cochez Se connecter au démarrage.
enregistrez vos modifications et allumez la machine virtuelle.

répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

Désactiver le mode de résolution DNS externe bloqué

Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

Avant de commencer

Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.

1	Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.
2	Allez à Aperçu (la page par défaut). Lorsque cette option est activée, Résolution DNS externe bloquée est définie sur Oui.
3	Rendez-vous sur la page Trust Store & Proxy.
4	Cliquez sur Vérifier la connexion au proxy. Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

Que faire ensuite

Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

Supprimer un nœud

Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

Supprimer le nœud :

Connectez-vous au Control Hub, puis sélectionnez Services.
Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.
Sélectionnez votre cluster pour afficher son panneau Aperçu.
Cliquez sur Ouvrir la liste des nœuds.
Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.
Cliquez sur Actions > Désenregistrer le nœud.

Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

Récupération après sinistre à l'aide du centre de données en attente

Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés


passiveMode: 'false'

Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.

Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

Répétez le processus pour chaque nœud du centre de données en veille.

Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

Que faire ensuite

(Facultatif) Démonter l'ISO après la configuration HDS

Avant de commencer

Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

1	Arrêtez l'un de vos nœuds HDS.
2	Dans vCenter Server Appliance, sélectionnez le nœud HDS.
3	Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.
4	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.
5	Répétez l'opération pour chaque nœud HDS.

Dépannage de la sécurité des données hybrides

Afficher les alertes et dépannage

Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)
Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :
- Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)
- Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)
Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

Alertes

Tableau 1. Problèmes courants et étapes à suivre pour les résoudre
Alerte	Action
Échec de l'accès à la base de données locale.	Vérifiez les erreurs de base de données ou les problèmes de réseau local.
Échec de connexion à la base de données locale.	Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.
Échec de l’accès au service Cloud.	Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.
Renouvellement de l’inscription au service cloud.	L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.
L’enregistrement du service Cloud a été abandonné.	L’inscription aux services du Cloud a pris fin. Le service s'arrête.
Le service n'est pas encore activé.	Activez un essai ou terminez le déplacement de l'essai en production.
Le domaine configuré ne correspond pas au certificat du serveur.	Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré. La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.
Échec de l’authentification aux services du Cloud.	Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.
Impossible d’ouvrir le fichier du magasin de clés local.	Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.
Le certificat du serveur local n'est pas valide.	Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.
Impossible de publier les mesures.	Vérifiez l’accès du réseau local aux services de cloud externes.
Le répertoire /media/configdrive/hds n'existe pas.	Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

Dépannage de la sécurité des données hybrides

Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.

1	Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.
2	Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.
3	Contactez l’assistance Cisco.

Autres notes

Problèmes connus pour la sécurité des données hybrides

Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.
Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

Utiliser OpenSSL pour générer un fichier PKCS12

Avant de commencer

OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.
Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.
Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.
Créer une clé privée.
Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

1	Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous `hdsnode.pem`.
2	Affichez le certificat sous forme de texte et vérifiez les détails. `openssl x509 -text -noout -in hdsnode.pem`
3	Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé `hdsnode-bundle.pem`. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous : `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Créez le fichier .p12 avec le nom convivial `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Vérifiez les détails du certificat du serveur. `openssl pkcs12 -in hdsnode.p12` Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes `friendlyName: kms-private-key`. Exemple : bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Que faire ensuite

Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

Trafic entre les nœuds HDS et le Cloud

Trafic de collecte des métriques sortantes

Trafic entrant

Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement
Mises à niveau du logiciel du nœud

Configurer des proxys Squid pour la sécurité des données hybrides

Websocket ne peut pas se connecter via le proxy Squid

Calamars 4 et 5

Ajouter le on_unsupported_protocol directive à squid.conf:

on_unsupported_protocol tunnel all

Calamar 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Préface

Informations nouvelles et modifiées

Date	Modifications effectuées
20 octobre 2023	Mise à jour des informations dans Configuration minimale requise du serveur de base de données. Ajout de Configurer le centre de données de veille pour la reprise d'activité après sinistre. Mise à jour des informations dans le Centre de données de veille pour la récupération après sinistre et Récupération après sinistre en utilisant le centre de données de veille.
7 août 2023	Ajout d'une remarque dans Télécharger les fichiers d'installation. Ajout d'une remarque dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
23 mai 2023	Suppression des informations de la section Configuration minimale du serveur de base de données demandant l'activation d'une fonctionnalité en contactant l'équipe du compte. Mise à jour des informations dans Exigences en matière de connectivité externe et ajout du Canada au tableau des organisateurs CI. Ajout d'une remarque dans Attentes pour le déploiement de la sécurité des données hybrides concernant l'indisponibilité des mécanismes pour déplacer les clés vers le Cloud.
6 décembre 2022	Les images de l’outil d’installation HDS sont maintenant hébergées dans le référentiel `ciscocitg` dockerhub. Mise à jour des rubriques Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud pour relire les changements dans les commandes.
23 novembre 2022	Les nœuds HDS peuvent maintenant utiliser l'authentification Windows par rapport à Microsoft SQL Server. Mise à jour de la rubrique Exigences du serveur de base de données avec des exigences supplémentaires pour ce mode d'authentification. Mise à jour de Créer un ISO de configuration pour les hôtes HDS avec la procédure de configuration de l'authentification Windows sur les nœuds. Mise à jour de la rubrique Configuration minimale requise pour le serveur de base de données avec de nouvelles versions minimales requises (PostgreSQL 10).
13 octobre 2021	Docker Desktop doit exécuter un programme d’installation avant de pouvoir installer les nœuds HDS. Voir Exigences requises pour le bureau Docker.
24 juin 2021	Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.
30 avril 2021	Modification des exigences de la MV pour l'espace disque dur local à 30 Go. Voir Configuration minimale requise pour l’organisateur virtuel pour plus d’informations.
24 février 2021	L’outil de configuration HDS peut maintenant s’exécuter derrière un proxy. Voir Créer un ISO de configuration pour les hôtes HDS pour plus de détails.
2 février 2021	HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.
11 janvier 2021	Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer un ISO de configuration pour les hôtes HDS.
13 octobre 2020	Mise à jour de Télécharger les fichiers d'installation.
8 octobre 2020	Mise à jour de la fonction Créer un ISO de configuration pour les hôtes HDS et Modifier la configuration du nœud avec des commandes pour les environnements FedRAMP.
14 août 2020	Mise à jour de l'option Créer un ISO de configuration pour les hôtes HDS et Modifier la configuration du nœud avec des modifications sur le processus de connexion.
5 août 2020	Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les changements dans les messages journaux. Mise à jour des exigences des organisateurs virtuels pour supprimer le nombre maximum d’organisateurs.
16 juin 2020	Mise à jour de l’option Supprimer un nœud pour les modifications dans l’interface utilisateur du Control Hub.
4 juin 2020	Mise à jour de la section Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez configurer.
29 mai 2020	Mise à jour de la section Créer un ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.
5 mai 2020	Mise à jour des Exigences de l'organisateur virtuel pour afficher la nouvelle exigence d'ESXi 6.5.
21 avril 2020	Mise à jour des exigences de connectivité externe avec de nouveaux hôtes CI pour les Amériques.
1er avril 2020	Mise à jour des exigences de connectivité externe avec des informations sur les hôtes CI régionaux.
20 février 2020	Mise à jour de l'option Créer un ISO de configuration pour les hôtes HDS avec des informations sur le nouvel écran des paramètres avancés facultatifs dans l'outil de configuration HDS.
4 février 2020	Mise à jour des Exigences requises pour le serveur proxy.
16 décembre 2019	Clarification de l'exigence pour le mode de résolution DNS externe bloqué de fonctionner dans Exigences du serveur proxy.
19 novembre 2019	Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes : Prise en charge du proxy Configurer le nœud HDS pour l’intégration du proxy Désactiver le mode de résolution DNS externe bloqué
8 novembre 2019	Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite. Mise à jour des sections suivantes en conséquence : Flux des tâches de déploiement de sécurité des données hybrides Installer l'OVA de l'hôte HDS Configurer la machine virtuelle de sécurité des données hybrides L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes.
6 septembre 2019	Ajout de SQL Server Standard à Exigences du serveur de base de données.
29 août 2019	Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour un fonctionnement correct.
20 août 2019	Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex. Prise en charge du proxy Configuration requise du serveur proxy Configurer le nœud HDS pour l’intégration du proxy Pour accéder uniquement au contenu de la prise en charge du proxy d’un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex .
13 juin 2019	Mise à jour du flux des tâches d’essai vers la production avec un rappel pour synchroniser l’objet du groupe `HdsTrialGroup` avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
6 mars 2019	Les exigences et les prérequis ont été déplacés dans un chapitre séparé, Préparer votre environnement. Ajout de la présentation du flux des tâches de déploiement de sécurité des données hybrides dans le chapitre Configurer un cluster de sécurité des données hybrides. Notez que jusqu'à ce que vous commenciez un essai (en suivant les instructions du chapitre suivant), vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé. Ajout de l’essai au flux des tâches de production dans le chapitre Exécuter un essai et déplacer vers la production.
28 février 2019	Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.
26 février 2019	Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer un ISO de configuration pour les hôtes HDS avec des instructions. Suppression des URL de destination dans le tableau « Exigences de connectivité Internet pour les MV du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste conservée dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.
24 janvier 2019	Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Toujours sur les clusters de basculement et Toujours sur les groupes de disponibilité) est pris en charge par les pilotes JDBC utilisés dans Hybrid Data Security. Ajout de contenu lié au déploiement avec SQL Server. La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.
5 novembre 2018	Ajout d'une étape préliminaire pour nettoyer toutes les instances hds docker existantes dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud. Mise à jour de l'étape de niveau d'accès clé dans Créer un ISO de configuration pour les hôtes HDS pour qu'il corresponde à l'interface.
19 octobre 2018	Divisez les informations de connexion du pare-feu en exigences du nœud et exigences de la machine de configuration ISO dans Complétez les prérequis pour la sécurité des données hybrides.
31 juillet 2018	Ajout du port 22 (accès SSH) et des informations sur les connexions NAT et le pare-feu pour Remplir les prérequis pour la sécurité des données hybrides.
21 mai 2018	Changement de terminologie pour refléter la nouvelle charte graphique de Cisco Spark : Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security. L'application Cisco Spark est maintenant l'application Webex. Cisco Collaboraton Cloud est maintenant le Cloud Webex.
11 avril 2018	Ajout de Centre de données de veille pour la reprise d'activité après sinistre. Mise à jour de Remplir les prérequis pour la sécurité des données hybrides pour spécifier que l'environnement de sauvegarde doit se trouver dans un autre centre de données. Mise à jour de la récupération après sinistre en utilisant le centre de données en veille.
22 février 2018	Ajout d'informations sur la durée de vie de 9 mois du mot de passe du compte de service et l'utilisation de l'outil d'installation HDS pour réinitialiser les mots de passe du compte de service, dans Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud.
15 février 2018	Dans la table Exigences pour le certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine NC et non un domaine défini dans les champs SAN x.509v3.
18 janvier 2018	Ajout d’une annexe, Trafic entre les nœuds HDS et le Cloud. Un problème résolu a été supprimé de Problèmes connus pour la sécurité des données hybrides. Modification de index.docker.io par .docker.io et ajout de .cloudfront.net à la liste des exigences de connectivité TCP pour les nœuds HDS dans Remplir les prérequis pour la sécurité des données hybrides. Mise à jour de la section Créer un ISO de configuration pour les hôtes HDS pour indiquer que si l'hôte de la base de données et le serveur Syslogd ne sont pas résolvables DNS à partir des nœuds HDS, vous devez les configurer à l'aide des adresses IP.
2 novembre 2017	Synchronisation du répertoire clarifiée du HdsTrialGroup. Correction des instructions pour télécharger le fichier de configuration ISO à monter sur les nœuds VM.
Première publication	Première publication

Commencer avec la sécurité des données hybrides

Présentation de la sécurité des données hybrides

Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

Architecture du domaine de sécurité

L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.

Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.

Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :

le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.
le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.
le message chiffré est envoyé au service de conformité pour les vérifications de conformité.
le message chiffré est stocké dans le domaine de stockage.

Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.

Collaborer avec d'autres organisations

Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.

Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides.

Attentes pour déployer la sécurité des données hybrides

Un déploiement de sécurité des données hybrides nécessite un engagement important du client et une prise de conscience des risques liés à la possession de clés de chiffrement.

Pour déployer la sécurité des données hybrides, vous devez fournir :

Un centre de données sécurisé dans un pays qui est un emplacement pris en charge pour les abonnements Cisco Webex Teams.
l'équipement, les logiciels et l'accès au réseau décrits dans .

La perte complète de la configuration ISO que vous créez pour la sécurité des données hybrides ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clé empêche les utilisateurs de déchiffrer le contenu de l’espace et les autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d'accès aux données, vous devez :

gérer la sauvegarde et la récupération de la base de données et la configuration ISO.
Préparez-vous à effectuer une reprise d'activité rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de la base de données ou un sinistre du centre de données.

Il n'y a aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

Processus d'installation de haut niveau

Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, le passage à la production. Cette action convertit l’ensemble de l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.
Les phases d’installation, d’essai et de production sont abordées en détail dans les trois prochains chapitres.
Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Control Hub.
Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.

Guide de déploiement de sécurité des données hybrides

Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)

Guide de déploiement de sécurité des données hybrides

Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.

Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

Nous ne prenons en charge qu'un seul cluster par organisation.

Mode d'essai de la sécurité des données hybrides

Après avoir configuré un déploiement de sécurité des données hybrides, vous essayez tout d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d’essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et autres services de sécurité du domaine. Vos autres utilisateurs continuent d'utiliser le domaine de la sécurité du Cloud.

Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

Si vous êtes satisfait que votre déploiement fonctionne bien pour les utilisateurs de la version d'évaluation et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous déplacez le déploiement vers la production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui étaient utilisées pendant l'essai. Cependant, vous ne pouvez pas aller et venir entre le mode de production et l'essai initial. Si vous devez désactiver le service, par exemple pour effectuer une récupération après sinistre, lorsque vous le réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode production. La question de savoir si les utilisateurs conservent l'accès aux données à ce stade dépend du fait que vous ayez réussi à maintenir les sauvegardes de la banque de données principale et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

Centre de données en veille pour la reprise d'activité après sinistre

Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.

Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en veille est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en veille restent toujours à jour avec la dernière version du logiciel HDS.

Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.

Configurer le centre de données en veille pour la reprise d'activité après sinistre

Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en veille :

Avant de commencer

Le centre de données en veille doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles. (Voir Centre de données de veille pour la reprise d'activité après sinistre pour un aperçu de ce modèle de basculement.)
Vérifiez que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

1	Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS. Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.
2	Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés
3	Sur la page Paramètres avancés , ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré auprès de l’entreprise et connecté au Cloud, mais ne traitera aucun trafic. `Mode passif : « vrai »`
4	Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.
5	Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.
6	Dans le panneau de navigation gauche du client VMware vSphere, faites un clic droit sur la MV et cliquez sur Modifier les paramètres.
7	Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données. Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds.
8	Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes.
9	Répétez le processus pour chaque nœud dans le centre de données en veille. Vérifiez les syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les fichiers syslogs.

Que faire ensuite

Après avoir configuré passiveMode dans le fichier ISO et l'avoir enregistré, vous pouvez créer une autre copie du fichier ISO sans la configuration passiveMode et l'enregistrer dans un emplacement sécurisé. Cette copie du fichier ISO sans mode passif configuré peut vous aider dans un processus de basculement rapide pendant la reprise d'activité après sinistre. Voir Récupération après sinistre en utilisant le centre de données en veille pour la procédure détaillée de basculement.

Prise en charge du proxy

Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.
Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :
1. IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.
2. Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.
3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :
  - HTTP — affiche et contrôle toutes les demandes envoyées par le client.
  - HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.
4. Type d'authentification—Choisissez parmi les types d'authentification suivants :
  - Aucune—Aucune autre authentification n'est requise.
    
    Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
  - Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.
    
    Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.
    
    Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.
  - Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.
    
    Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.
    
    Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

Exemple de nœuds de sécurité des données hybrides et proxy

Mode de résolution DNS externe bloqué (configurations proxy explicites)

Préparer votre environnement

Exigences pour la sécurité des données hybrides

Configuration minimale requise pour la licence Cisco Webex

Pour déployer la sécurité des données hybrides :

Vous devez avoir le Pack Pro pour Cisco Webex Control Hub. (Voir https://www.cisco.com/go/pro-pack.)

Exigences requises pour Docker Desktop

Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».

Exigences du certificat X.509

La chaîne de certificats doit répondre aux exigences suivantes :

Tableau 1. Exigences du certificat X.509 pour le déploiement de sécurité des données hybrides
Signé par une autorité de certification (CA) de confiance	Détails
Signé par une autorité de certification (AC) de confiance	Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.
Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides N'est pas un certificat générique	Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple `hds.company.com`. Le NC ne doit pas contenir un * (caractère générique). Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3. Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. Choisissez un domaine qui peut s'appliquer aux déploiements d'essai et de production.
Sans signature SHA1	Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations.
Formaté comme fichier PKCS #12 protégé par un mot de passe Utilisez le nom convivial de `kms-private-key` pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.	Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat. Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS.

Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

Configuration minimale requise pour l’organisateur virtuel

Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :

Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé
Installation et exécution de VMware ESXi 6.5 (ou version ultérieure).

Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.
Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

Configuration minimale requise pour le serveur de base de données

Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.

Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :

Tableau 2. Exigences relatives au serveur de base de données par type de base de données
PostgreSQL	Serveur Microsoft SQL
PostgreSQL 14, 15, ou 16, installé et en cours d'exécution.	SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé. SQL Server 2016 nécessite le Service Pack 2 et la Mise à jour cumulative 2 ou ultérieure.
Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage)	Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage)

Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

PostgreSQL

Serveur Microsoft SQL

Pilote Postgres JDBC 42.2.5

Pilote SQL Server JDBC 4.6

Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité).

Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :

Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.
Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.
Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).
Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

Exigences en matière de connectivité externe

Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

Application	Protocole	Port	Direction de l’application	Destination
Nœuds de sécurité des données hybrides	TCP	443	Sortie HTTPS et WSS	Serveurs Webex : .wbx2.com .ciscospark.com Tous les hôtes Common Identity Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex des Exigences réseau pour les services Webex
Outil d’installation HDS	TCP	443	HTTPS sortante	*.wbx2.com Tous les hôtes Common Identity hub.docker.com

Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.

Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :

Région	URL de l'identité commune de l'organisateur
Amériques	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Union européenne	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Configuration requise du serveur proxy

Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.
- Proxy transparent — Appliance Cisco Web Security (WSA).
- Proxy explicite — squid.
  
  Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l'établissement des connexions websocket (wss:). Pour contourner ce problème, voir Configurer les proxys squid pour la sécurité des données hybrides.
Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :
- Aucune authentification avec HTTP ou HTTPs
- Authentification de base avec HTTP ou HTTPs
- Authentification Digest avec HTTPs uniquement
Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.
Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.
Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à wbx2.com et ciscospark.com résoudra le problème.

Remplissez les conditions préalables pour la sécurité des données hybrides

Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.

1	Vérifiez que votre organisation Webex est activée pour le Pro Pack pour Cisco Webex Control Hub et obtenez les informations d’identification d’un compte avec tous les droits d’administrateur de l’organisation. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide.
2	Choisissez un nom de domaine pour votre déploiement HDS (par exemple, `hds.company.com`) et obtenez une chaine de certificats contenant un certificat X.509, une clé privée et tous les certificats intermédiaires. La chaine de certificats doit répondre aux exigences de la section Exigences du certificat X.509.
3	Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel.
4	Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.) Collectez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données : le nom d'hôte ou l'adresse IP (hôte) et le port le nom de la base de données (nombd) pour le stockage des clés le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage de clés
5	Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles.
6	Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514).
7	Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides. Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu. Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.
8	Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe.
9	Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080. Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Votre entreprise peut avoir besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations. Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe.
10	Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy.
11	Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans le répertoire actif, appelé `HdsTrialGroup` et ajoutez des utilisateurs pilotes. Le groupe d'essai peut contenir jusqu'à 250 utilisateurs. L'objet `HdsTrialGroup` doit être synchronisé avec le Cloud avant de pouvoir démarrer un test pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le menu Configuration > Sélection d'objet du Directory Connector. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.) Les clés d'un espace donné sont définies par le créateur de l'espace. Lorsque vous sélectionnez des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu des espaces qui ont été créés par les utilisateurs pilotes. La perte devient évidente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

Installer un cluster de sécurité des données hybrides

Flux des tâches de déploiement de sécurité des données hybrides

Avant de commencer