Vous constaterez peut-être que le contenu de certains articles s’affiche de manière incohérente. Nous vous prions de bien vouloir nous en excuser, pendant que nous procédons à la mise à jour de notre site.
cross icon
Dans cet article
dropdown icon
Préface
    Informations nouvelles et modifiées
    dropdown icon
    Commencer avec la sécurité des données hybrides
      Présentation de la sécurité des données hybrides
        dropdown icon
        Architecture du domaine de sécurité
          Domaines de séparation (sans sécurité des données hybrides)
        Collaborer avec d'autres organisations
          Attentes pour déployer la sécurité des données hybrides
            Processus d'installation de haut niveau
              dropdown icon
              Guide de déploiement de sécurité des données hybrides
                Guide de déploiement de sécurité des données hybrides
              Mode d'essai de la sécurité des données hybrides
                dropdown icon
                Centre de données en veille pour la reprise d'activité après sinistre
                  Configurer le centre de données en veille pour la reprise d'activité après sinistre
                Prise en charge du proxy
                dropdown icon
                Préparer votre environnement
                  dropdown icon
                  Exigences pour la sécurité des données hybrides
                    Configuration minimale requise pour la licence Cisco Webex
                    Exigences requises pour Docker Desktop
                    Exigences du certificat X.509
                    Configuration minimale requise pour l’organisateur virtuel
                    Configuration minimale requise pour le serveur de base de données
                    Exigences en matière de connectivité externe
                    Configuration requise du serveur proxy
                  Remplissez les conditions préalables pour la sécurité des données hybrides
                  dropdown icon
                  Installer un cluster de sécurité des données hybrides
                    Flux des tâches de déploiement de sécurité des données hybrides
                      Télécharger les fichiers d'installation
                        Créer une configuration ISO pour les hôtes HDS
                          Installer l'OVA de l'hôte HDS
                            Configurer la machine virtuelle de sécurité des données hybrides
                              Téléchargez et montez l'ISO de configuration HDS
                                Configurer le nœud HDS pour l’intégration du proxy
                                  Enregistrer le premier nœud dans le cluster
                                    Créer et enregistrer plus de nœuds
                                    dropdown icon
                                    Lancer un essai et se déplacer vers la production
                                      Flux des tâches de l’essai à la production
                                        Activer l'essai
                                          Tester le déploiement de sécurité de vos données hybrides
                                            Contrôler l'intégrité de la sécurité des données hybrides
                                              Ajouter ou supprimer des utilisateurs de votre version d'évaluation
                                                Passer de l'essai à la production
                                                  Mettre un terme à votre essai sans passer par la production
                                                  dropdown icon
                                                  Gérer votre déploiement HDS
                                                    Gérer le déploiement HDS
                                                      Configurer un calendrier de mise à niveau des clusters
                                                        Changer la configuration du nœud
                                                          Désactiver le mode de résolution DNS externe bloqué
                                                            Supprimer un nœud
                                                              Récupération après sinistre en utilisant le centre de données en veille
                                                                (Facultatif) Démonter ISO après la configuration HDS
                                                                dropdown icon
                                                                Dépannage de la sécurité des données hybrides
                                                                  Afficher les alertes et dépannage
                                                                    dropdown icon
                                                                    Alertes
                                                                      Problèmes courants et étapes à suivre pour les résoudre
                                                                    Dépannage de la sécurité des données hybrides
                                                                    dropdown icon
                                                                    Autres notes
                                                                      Problèmes connus avec la sécurité des données hybrides
                                                                        Utiliser OpenSSL pour générer un fichier PKCS12
                                                                          Trafic entre les nœuds HDS et le Cloud
                                                                            dropdown icon
                                                                            Configurer les proxys Squid pour la sécurité des données hybrides
                                                                              WebSocket ne peut pas se connecter via le proxy Squid
                                                                          Dans cet article
                                                                          cross icon
                                                                          dropdown icon
                                                                          Préface
                                                                            Informations nouvelles et modifiées
                                                                            dropdown icon
                                                                            Commencer avec la sécurité des données hybrides
                                                                              Présentation de la sécurité des données hybrides
                                                                                dropdown icon
                                                                                Architecture du domaine de sécurité
                                                                                  Domaines de séparation (sans sécurité des données hybrides)
                                                                                Collaborer avec d'autres organisations
                                                                                  Attentes pour déployer la sécurité des données hybrides
                                                                                    Processus d'installation de haut niveau
                                                                                      dropdown icon
                                                                                      Guide de déploiement de sécurité des données hybrides
                                                                                        Guide de déploiement de sécurité des données hybrides
                                                                                      Mode d'essai de la sécurité des données hybrides
                                                                                        dropdown icon
                                                                                        Centre de données en veille pour la reprise d'activité après sinistre
                                                                                          Configurer le centre de données en veille pour la reprise d'activité après sinistre
                                                                                        Prise en charge du proxy
                                                                                        dropdown icon
                                                                                        Préparer votre environnement
                                                                                          dropdown icon
                                                                                          Exigences pour la sécurité des données hybrides
                                                                                            Configuration minimale requise pour la licence Cisco Webex
                                                                                            Exigences requises pour Docker Desktop
                                                                                            Exigences du certificat X.509
                                                                                            Configuration minimale requise pour l’organisateur virtuel
                                                                                            Configuration minimale requise pour le serveur de base de données
                                                                                            Exigences en matière de connectivité externe
                                                                                            Configuration requise du serveur proxy
                                                                                          Remplissez les conditions préalables pour la sécurité des données hybrides
                                                                                          dropdown icon
                                                                                          Installer un cluster de sécurité des données hybrides
                                                                                            Flux des tâches de déploiement de sécurité des données hybrides
                                                                                              Télécharger les fichiers d'installation
                                                                                                Créer une configuration ISO pour les hôtes HDS
                                                                                                  Installer l'OVA de l'hôte HDS
                                                                                                    Configurer la machine virtuelle de sécurité des données hybrides
                                                                                                      Téléchargez et montez l'ISO de configuration HDS
                                                                                                        Configurer le nœud HDS pour l’intégration du proxy
                                                                                                          Enregistrer le premier nœud dans le cluster
                                                                                                            Créer et enregistrer plus de nœuds
                                                                                                            dropdown icon
                                                                                                            Lancer un essai et se déplacer vers la production
                                                                                                              Flux des tâches de l’essai à la production
                                                                                                                Activer l'essai
                                                                                                                  Tester le déploiement de sécurité de vos données hybrides
                                                                                                                    Contrôler l'intégrité de la sécurité des données hybrides
                                                                                                                      Ajouter ou supprimer des utilisateurs de votre version d'évaluation
                                                                                                                        Passer de l'essai à la production
                                                                                                                          Mettre un terme à votre essai sans passer par la production
                                                                                                                          dropdown icon
                                                                                                                          Gérer votre déploiement HDS
                                                                                                                            Gérer le déploiement HDS
                                                                                                                              Configurer un calendrier de mise à niveau des clusters
                                                                                                                                Changer la configuration du nœud
                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué
                                                                                                                                    Supprimer un nœud
                                                                                                                                      Récupération après sinistre en utilisant le centre de données en veille
                                                                                                                                        (Facultatif) Démonter ISO après la configuration HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Dépannage de la sécurité des données hybrides
                                                                                                                                          Afficher les alertes et dépannage
                                                                                                                                            dropdown icon
                                                                                                                                            Alertes
                                                                                                                                              Problèmes courants et étapes à suivre pour les résoudre
                                                                                                                                            Dépannage de la sécurité des données hybrides
                                                                                                                                            dropdown icon
                                                                                                                                            Autres notes
                                                                                                                                              Problèmes connus avec la sécurité des données hybrides
                                                                                                                                                Utiliser OpenSSL pour générer un fichier PKCS12
                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud
                                                                                                                                                    dropdown icon
                                                                                                                                                    Configurer les proxys Squid pour la sécurité des données hybrides
                                                                                                                                                      WebSocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Guide de déploiement pour la sécurité des données hybrides Webex

                                                                                                                                                  list-menuDans cet article
                                                                                                                                                  list-menuUn commentaire ?
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex.

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après la configuration passiveMode dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP : affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et de proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations de proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Exigences du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPS

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPS

                                                                                                                                                    • Digest authentification avec HTTPS uniquement

                                                                                                                                                  • Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenir une chaîne de certificats contenant un certificat X.509, une clé privée et tout certificat intermédiaire. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup, et ajouter des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. Le HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le Configuration > menu Sélection d'objet. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de la sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.


                                                                                                                                                   

                                                                                                                                                  Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :

                                                                                                                                                    • Identifiants de base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modification de la politique d’habilitation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements standard sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO, vous avez les options suivantes :

                                                                                                                                                  • Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

                                                                                                                                                    Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférer TLS (option par défaut)

                                                                                                                                                  Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  TLS requis

                                                                                                                                                  Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  Ce mode n’est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.


                                                                                                                                                   

                                                                                                                                                  Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

                                                                                                                                                  Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

                                                                                                                                                  9

                                                                                                                                                  Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

                                                                                                                                                     
                                                                                                                                                    • Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                     

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification :

                                                                                                                                                  1. Connexion : admin

                                                                                                                                                  2. Mot de passe : cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau.

                                                                                                                                                  Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur :

                                                                                                                                                  1. Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.

                                                                                                                                                  4. Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.

                                                                                                                                                  5. Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecté à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Saisissez l’URL de configuration du nœud HDS https://[HDS Node IP or FQDN]/setup dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez dans Trust Store & Proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxys HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy.

                                                                                                                                                  Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt.

                                                                                                                                                  Le nœud redémarre en quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                   

                                                                                                                                                  À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez le HdsTrialGroup objet de groupe.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Création d'une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

                                                                                                                                                  • Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.

                                                                                                                                                  • Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements standard sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV ​​et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrez le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

                                                                                                                                                  Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (la page par défaut).

                                                                                                                                                  Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .

                                                                                                                                                  3

                                                                                                                                                  Rendez-vous sur la page Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion au proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec de l'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName: kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer des proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  Websocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

                                                                                                                                                  Calamars 4 et 5

                                                                                                                                                  Ajouter le on_unsupported_protocol directive à squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex.

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après la configuration passiveMode dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP : affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et de proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations de proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Exigences du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPS

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPS

                                                                                                                                                    • Digest authentification avec HTTPS uniquement

                                                                                                                                                  • Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenir une chaîne de certificats contenant un certificat X.509, une clé privée et tout certificat intermédiaire. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup, et ajouter des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. Le HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le Configuration > menu Sélection d'objet. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de la sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.


                                                                                                                                                   

                                                                                                                                                  Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :

                                                                                                                                                    • Identifiants de base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modification de la politique d’habilitation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements standard sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO, vous avez les options suivantes :

                                                                                                                                                  • Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

                                                                                                                                                    Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférer TLS (option par défaut)

                                                                                                                                                  Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  TLS requis

                                                                                                                                                  Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  Ce mode n’est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.


                                                                                                                                                   

                                                                                                                                                  Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

                                                                                                                                                  Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

                                                                                                                                                  9

                                                                                                                                                  Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

                                                                                                                                                     
                                                                                                                                                    • Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                     

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification :

                                                                                                                                                  1. Connexion : admin

                                                                                                                                                  2. Mot de passe : cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau.

                                                                                                                                                  Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur :

                                                                                                                                                  1. Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.

                                                                                                                                                  4. Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.

                                                                                                                                                  5. Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecté à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Saisissez l’URL de configuration du nœud HDS https://[HDS Node IP or FQDN]/setup dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez dans Trust Store & Proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxys HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy.

                                                                                                                                                  Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt.

                                                                                                                                                  Le nœud redémarre en quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                   

                                                                                                                                                  À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez le HdsTrialGroup objet de groupe.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Création d'une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

                                                                                                                                                  • Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.

                                                                                                                                                  • Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements standard sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV ​​et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrez le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

                                                                                                                                                  Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (la page par défaut).

                                                                                                                                                  Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .

                                                                                                                                                  3

                                                                                                                                                  Rendez-vous sur la page Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion au proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec de l'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName: kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer des proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  Websocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

                                                                                                                                                  Calamars 4 et 5

                                                                                                                                                  Ajouter le on_unsupported_protocol directive à squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex.

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après la configuration passiveMode dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP : affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et de proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations de proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Exigences du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPS

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPS

                                                                                                                                                    • Digest authentification avec HTTPS uniquement

                                                                                                                                                  • Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenir une chaîne de certificats contenant un certificat X.509, une clé privée et tout certificat intermédiaire. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup, et ajouter des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. Le HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le Configuration > menu Sélection d'objet. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de la sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.


                                                                                                                                                   

                                                                                                                                                  Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :

                                                                                                                                                    • Identifiants de base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modification de la politique d’habilitation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements standard sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO, vous avez les options suivantes :

                                                                                                                                                  • Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

                                                                                                                                                    Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférer TLS (option par défaut)

                                                                                                                                                  Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  TLS requis

                                                                                                                                                  Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  Ce mode n’est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.


                                                                                                                                                   

                                                                                                                                                  Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

                                                                                                                                                  Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

                                                                                                                                                  9

                                                                                                                                                  Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

                                                                                                                                                     
                                                                                                                                                    • Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                     

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification :

                                                                                                                                                  1. Connexion : admin

                                                                                                                                                  2. Mot de passe : cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau.

                                                                                                                                                  Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur :

                                                                                                                                                  1. Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.

                                                                                                                                                  4. Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.

                                                                                                                                                  5. Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecté à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Saisissez l’URL de configuration du nœud HDS https://[HDS Node IP or FQDN]/setup dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez dans Trust Store & Proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxys HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy.

                                                                                                                                                  Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt.

                                                                                                                                                  Le nœud redémarre en quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                   

                                                                                                                                                  À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez le HdsTrialGroup objet de groupe.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Création d'une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

                                                                                                                                                  • Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.

                                                                                                                                                  • Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements standard sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV ​​et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrez le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

                                                                                                                                                  Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (la page par défaut).

                                                                                                                                                  Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .

                                                                                                                                                  3

                                                                                                                                                  Rendez-vous sur la page Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion au proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec de l'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName: kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer des proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  Websocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

                                                                                                                                                  Calamars 4 et 5

                                                                                                                                                  Ajouter le on_unsupported_protocol directive à squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex.

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après la configuration passiveMode dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP : affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et de proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations de proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Exigences du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPS

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPS

                                                                                                                                                    • Digest authentification avec HTTPS uniquement

                                                                                                                                                  • Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenir une chaîne de certificats contenant un certificat X.509, une clé privée et tout certificat intermédiaire. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup, et ajouter des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. Le HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le Configuration > menu Sélection d'objet. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de la sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.


                                                                                                                                                   

                                                                                                                                                  Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :

                                                                                                                                                    • Identifiants de base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modification de la politique d’habilitation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements standard sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO, vous avez les options suivantes :

                                                                                                                                                  • Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

                                                                                                                                                    Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférer TLS (option par défaut)

                                                                                                                                                  Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  TLS requis

                                                                                                                                                  Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  Ce mode n’est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.


                                                                                                                                                   

                                                                                                                                                  Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

                                                                                                                                                  Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

                                                                                                                                                  9

                                                                                                                                                  Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

                                                                                                                                                     
                                                                                                                                                    • Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                     

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification :

                                                                                                                                                  1. Connexion : admin

                                                                                                                                                  2. Mot de passe : cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau.

                                                                                                                                                  Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur :

                                                                                                                                                  1. Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.

                                                                                                                                                  4. Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.

                                                                                                                                                  5. Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecté à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Saisissez l’URL de configuration du nœud HDS https://[HDS Node IP or FQDN]/setup dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez dans Trust Store & Proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxys HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy.

                                                                                                                                                  Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt.

                                                                                                                                                  Le nœud redémarre en quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                   

                                                                                                                                                  À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez le HdsTrialGroup objet de groupe.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Création d'une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

                                                                                                                                                  • Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.

                                                                                                                                                  • Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements standard sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV ​​et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrez le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

                                                                                                                                                  Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (la page par défaut).

                                                                                                                                                  Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .

                                                                                                                                                  3

                                                                                                                                                  Rendez-vous sur la page Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion au proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec de l'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName: kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer des proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  Websocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

                                                                                                                                                  Calamars 4 et 5

                                                                                                                                                  Ajouter le on_unsupported_protocol directive à squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex.

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après la configuration passiveMode dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état général de la connectivité après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP : affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et de proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations de proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, voir le billet de blog Docker, « Docker met à jour et étend ses abonnements aux produits ".

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Exigences du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPS

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPS

                                                                                                                                                    • Digest authentification avec HTTPS uniquement

                                                                                                                                                  • Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions de socket Web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenir une chaîne de certificats contenant un certificat X.509, une clé privée et tout certificat intermédiaire. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup, et ajouter des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. Le HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le Configuration > menu Sélection d'objet. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de la sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.


                                                                                                                                                   

                                                                                                                                                  Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :

                                                                                                                                                    • Identifiants de base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modification de la politique d’habilitation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements normaux :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements standard sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements standard avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO, vous avez les options suivantes :

                                                                                                                                                  • Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

                                                                                                                                                    Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférer TLS (option par défaut)

                                                                                                                                                  Les nœuds HDS n'ont pas besoin de TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  TLS requis

                                                                                                                                                  Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  Ce mode n’est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud interrompt la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, sinon le nœud interrompt la connexion.

                                                                                                                                                  Utilisez le certificat racine de la base de données sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l'outil affiche un message d'erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de poursuivre l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.


                                                                                                                                                   

                                                                                                                                                  Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

                                                                                                                                                  Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

                                                                                                                                                  9

                                                                                                                                                  Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

                                                                                                                                                     
                                                                                                                                                    • Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                     

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification :

                                                                                                                                                  1. Connexion : admin

                                                                                                                                                  2. Mot de passe : cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau.

                                                                                                                                                  Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur :

                                                                                                                                                  1. Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.

                                                                                                                                                  4. Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.

                                                                                                                                                  5. Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecté à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Saisissez l’URL de configuration du nœud HDS https://[HDS Node IP or FQDN]/setup dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez dans Trust Store & Proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun : aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxys HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy.

                                                                                                                                                  Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt.

                                                                                                                                                  Le nœud redémarre en quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                   

                                                                                                                                                  À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez le HdsTrialGroup objet de groupe.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Cliquez ensuite sur Enregistrer .

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • Modification des certificats x.509 en raison de leur expiration ou pour d'autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • Mise à jour des paramètres de la base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l'inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Création d'une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  Pour des raisons de sécurité, la sécurité des données hybrides utilise les mots de passe du compte de service ayant une durée de validité de 9 mois. L'outil de configuration HDS génère ces mots de passe et vous les déployez sur chacun de vos nœuds HDS dans le cadre du fichier de configuration ISO. Lorsque l'expiration des mots de passe de votre organisation approche, vous recevez un « Avis d'expiration du mot de passe » de Webex Teams, vous demandant de réinitialiser le mot de passe du compte de votre machine. (L'e-mail comprend le texte « Utiliser l' API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous propose deux options :

                                                                                                                                                  • Réinitialisation logicielle : l’ancien et le nouveau mot de passe fonctionnent tous les deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.

                                                                                                                                                  • Réinitialisation matérielle : les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation matérielle immédiate et le remplacement du fichier ISO sur tous les nœuds.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les informations d'identification d'un compte Control Hub avec des droits d'administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d'environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous apportez des modifications à la configuration, y compris les informations d'identification de la base de données, les mises à jour de certificats ou les modifications apportées à la stratégie d'autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoie les images précédentes de l’outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connecter au registre des images Docker, saisissez ce qui suit :

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements normaux :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements standard sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements standard avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d'exécution, le message « Serveur express à l'écoute sur le port 8080 » s'affiche.

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client et cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l'outil d'installation, tapez CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un nœud HDS en cours d'exécution, créez un nouveau nœud virtuel MV ​​et enregistrez-le à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrez le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à tour de rôle, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1 cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

                                                                                                                                                  Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (la page par défaut).

                                                                                                                                                  Lorsqu'elle est activée, Résolution DNS externe bloquée est défini sur Oui .

                                                                                                                                                  3

                                                                                                                                                  Rendez-vous sur la page Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion au proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec de l'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName: kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer des proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  Websocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

                                                                                                                                                  Calamars 4 et 5

                                                                                                                                                  Ajouter le on_unsupported_protocol directive à squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex .

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai par rapport à la production avec un rappel pour synchroniser l'objet du groupe HdsTrialGroup avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination dans le tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509 , spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Les instructions de chargement du fichier de configuration ISO pour montage sur les nœuds VM ont été corrigées.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et la configuration ISO.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus—Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil d'installation HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex n’est mis à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Avant le basculement, le centre de données A a des nœuds HDS actifs et la base de données principale PostgreSQL ou Microsoft SQL Server, tandis que B a une copie du fichier ISO avec des configurations supplémentaires, des machines virtuelles qui sont enregistrées dans l'organisation et une base de données en attente. Après le basculement, le centre de données B a des nœuds HDS actifs et la base de données principale, tandis que A a des machines virtuelles non enregistrées et une copie du fichier ISO et la base de données est en mode veille.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés , ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                   Mode passif : 'vrai' 

                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >Lecteur CD/DVD 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après avoir configuré passiveMode dans le fichier ISO et l'avoir enregistré, vous pouvez créer une autre copie du fichier ISO sans la configuration passiveMode et l'enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans configuration passiveMode peut vous aider dans un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.

                                                                                                                                                  • Proxy transparent non inspectant—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n’est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).

                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP — affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun—Aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.

                                                                                                                                                        Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.

                                                                                                                                                        Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Exigences

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Configuration requise du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPs

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPs

                                                                                                                                                    • Authentification Digest avec HTTPs uniquement

                                                                                                                                                  • Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenez une chaîne de certificats contenant un certificat X.509, une clé privée et tous les certificats intermédiaires. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup et ajoutez des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. L'objet HdsTrialGroup doit être synchronisé avec le Cloud avant que vous puissiez démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le menu Configuration > Sélection d’objet de Directory Connector. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Download Installation Files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l’intégration du proxy

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.


                                                                                                                                                   

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.


                                                                                                                                                   

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ce tableau fournit quelques variables possibles pour l’environnement :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements réguliers :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connectez au registre d’image Docker, saisissez ce qui suit :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l’invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements réguliers :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements réguliers sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements réguliers avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Exemple:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  Les nodes HDS ne nécessitent pas que TLS se connecte au serveur de base de données. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  Demander TLS

                                                                                                                                                  Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

                                                                                                                                                  Demander TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. S’ils ne correspondent pas, le nœud perd la connexion.

                                                                                                                                                  Utilisez le contrôle de la certificat racine base de données en dessous du bas pour charger le certificat racine pour cette option.

                                                                                                                                                  Demander TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. S’ils ne correspondent pas, le nœud perd la connexion.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Les noms doivent correspondre exactement, ou le nœud perd la connexion.

                                                                                                                                                  Utilisez le contrôle de la certificat racine base de données en dessous du bas pour charger le certificat racine pour cette option.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Exemple:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxTaille : 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l’outil d’installation, tapez CTRL + C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.


                                                                                                                                                   

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

                                                                                                                                                     
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Les majuscules ne sont actuellement pas supportées.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                     

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Connexion : Admin

                                                                                                                                                  2. Mot de passe : Cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Configurer le nœud HDS pour l’intégration du proxy

                                                                                                                                                  Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Entrez l’URL de configuration du nœud HDS https://[HDS du nœud IP ou FDQN]/Setup dans un navigateur Web, saisissez les identifiants d’administrateur que vous avez configurés pour le nœud, puis cliquez sur connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Trust Store & proxy, puis choisissez une option :

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Aucune mise à jour du certificat n’est requise.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Aucune mise à jour du certificat n’est requise.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Aucune modification de la configuration HTTPs n’est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Choisissez une option en fonction de ce que votre Serveur Proxy prend en charge.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPs.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Utilise le codage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPs.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxies HTTPs.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy.

                                                                                                                                                  Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e).

                                                                                                                                                  Le nœud redémarre dans quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de noeud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                   

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de noeud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Run a Trial and Move to Production (next chapter)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez l'objet du groupe HdsTrialGroup .

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet du groupe HdsTrialGroup pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet du groupe HdsTrialGroup pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION :

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid : kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uri=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY :

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uri=Host=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d'une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION :

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uri=null, kms.data.uri=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION :

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] reçu, deviceId : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par courrier électronique. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup ; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Puis cliquez sur Enregistrer.

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à niveau au jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Créer une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :

                                                                                                                                                  • Réinitialisation logicielle—L'ancien et le nouveau mot de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.

                                                                                                                                                  • Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements réguliers :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connectez au registre d’image Docker, saisissez ce qui suit :

                                                                                                                                                    connexion docker -u hdscustomersro
                                                                                                                                                  3. À l’invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements réguliers :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements réguliers sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec une adresse HTTPSproxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l’host local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utiliser http://127.0.0.1:8080 pour se connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client Control Hub, puis cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l’outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l’outil d’installation, tapez CTRL + C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud de sécurité des données hybrides et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrer le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. cliquez sur Lecteur CD/DVD 1, sélectionnez l’option de montage à partir d’un fichier ISO et allez à l’emplacement où vous avez téléchargé le nouveau fichier de configuration ISO.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.

                                                                                                                                                  Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (page par défaut).

                                                                                                                                                  Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui.

                                                                                                                                                  3

                                                                                                                                                  Allez à la page proxy de la Banque de confiance & .

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion du proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion du proxy sur chaque nœud dans votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la MV et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés , ajoutez la configuration ci-dessous ou supprimez la configuration Mode passif pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                   Mode passif : 'faux' 

                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >Lecteur CD/DVD 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Edit Settings > Lecteur CD/DVD et décochez Datastore ISO File.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec d'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai, ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront à utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et réintégration).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le en tant que hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -dans hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier bundle de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----START CERTIFICATE----- ### Certificat du serveur. ### ----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificat de l'AC intermédiaire. ### -----END CERTIFICATE----- ----BEGIN CERTIFICATE----- ### Certificat de l'AC racine. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -dans hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName : kms-private-key.

                                                                                                                                                    Exemple:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Entrez le mot de passe d'importation: MAC vérifié OK Bag Attributes friendlyName : kms-private-key localKeyID : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributs clés :  Saisissez la phrase de passe PEM : Vérification - Saisissez la phrase de passage PEM : -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID : 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer les proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  WebSocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de connexions websocket (wss:) requises par la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.

                                                                                                                                                  Squid 4 et 5

                                                                                                                                                  Ajouter la on_unsupported_protocol directive sur squid.conf :

                                                                                                                                                  on_unsupported_protocol tunnel tout

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump épissure wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 tous ssl_bump stare step2 tous ssl_bump bump step3 tous
                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  07 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  06 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d'installation avant de pouvoir installer les nœuds HDS. Voir Configuration minimale du bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification de l'exigence de la machine virtuelle pour l'espace du disque dur local à 30 Go. Voir Exigences relatives à l'organisateur virtuel pour plus de détails.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L'outil de configuration HDS peut maintenant s'exécuter derrière un proxy. Voir Créer une configuration ISO pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec les commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS et Modifier la configuration du nœud avec des modifications au processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les modifications apportées aux messages des journaux.

                                                                                                                                                  Mise à jour des Exigences des organisateurs virtuels pour supprimer le nombre maximum d'organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de Supprimer un nœud pour les modifications de l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez définir.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de Créer une ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'hôte virtuel pour afficher les nouvelles exigences d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec les nouveaux hôtes CI Americas.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des Exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de Créer une configuration ISO pour les hôtes HDS avec des informations sur le nouvel écran optionnel Paramètres avancés dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences du serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence de fonctionnement du mode de résolution DNS externe bloqué dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout du standard SQL Server aux exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour le bon fonctionnement.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy pour un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex.

                                                                                                                                                  13 juin 2019Mise à jour du Flux des tâches d'essai en production avec un rappel pour synchroniser le HdsTrialGroup de groupe avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer une configuration ISO pour les hôtes HDS avec les instructions.

                                                                                                                                                  • Suppression des URL de destination du tableau « Exigences de connectivité Internet pour les machines virtuelles du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste maintenue dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Always On Failover Clusters et Always on Availability Groups) est pris en charge par les pilotes JDBC qui sont utilisés dans la sécurité des données hybrides. Ajout de contenu lié au déploiement avec SQL Server.


                                                                                                                                                     

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Terminologie modifiée pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Le Cloud Cisco Collaboraton est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans le tableau Exigences du certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine CN, pas n'importe quel domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Clarification de la synchronisation du répertoire du HdsTrialGroup.

                                                                                                                                                  • Instructions fixes pour télécharger le fichier de configuration ISO pour montage sur les nœuds VM.

                                                                                                                                                  18 août 2017

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au cœur de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement de contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de l’application Webex bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service dans des domaines distincts, ou domaines de confiance, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons d’abord ce cas purement cloud, où Cisco fournit toutes les fonctions dans ses domaines cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que leur adresse électronique, est logiquement et physiquement séparé du domaine de sécurité dans le centre de données B. Les deux sont à leur tour séparés du domaine où le contenu chiffré est finalement stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex exécutée sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l’utilisateur compose un message à envoyer à un espace, les étapes suivantes ont lieu :

                                                                                                                                                  1. Le client établit une connexion sécurisée avec le service de gestion des clés (KMS), puis demande une clé pour chiffrer le message. La connexion sécurisée utilise ECDH et le KMS chiffre la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. Le message est chiffré avant de quitter le client. Le client l'envoie au service d'indexation, qui crée des index de recherche chiffrés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. Le message chiffré est envoyé au service de conformité pour vérification de conformité.

                                                                                                                                                  4. Le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions du domaine de sécurité (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage de l’identité et du contenu) restent dans les royaumes de Cisco.

                                                                                                                                                  Collaborer avec d’autres organisations

                                                                                                                                                  Les utilisateurs de votre organisation peuvent régulièrement utiliser l’application Webex pour collaborer avec des participants externes d’autres organisations. Lorsque l’un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l’un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé de l’espace, votre système KMS achemine la demande vers le Cloud Webex via un canal ECDH séparé pour obtenir la clé du système KMS approprié, puis la renvoie à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS en cours d'exécution sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour plus d'informations sur la génération d'un certificat x.509 à utiliser avec votre déploiement Hybrid Data Security.

                                                                                                                                                  Attentes concernant le déploiement de la sécurité des données hybrides

                                                                                                                                                  Un déploiement de sécurité des données hybrides nécessite un engagement client significatif et une prise de conscience des risques liés à la possession de clés de chiffrement.

                                                                                                                                                  Pour déployer la sécurité des données hybrides, vous devez fournir :

                                                                                                                                                  La perte complète de l'ISO de configuration que vous créez pour Hybrid Data Security ou de la base de données que vous fournissez entraînera la perte des clés. La perte de clés empêche les utilisateurs de déchiffrer le contenu de l’espace et d’autres données chiffrées dans l’application Webex. Si cela se produit, vous pouvez créer un nouveau déploiement, mais seul le nouveau contenu sera visible. Pour éviter la perte d’accès aux données, vous devez :

                                                                                                                                                  • Gérer la sauvegarde et la restauration de la base de données et l’ISO de configuration.

                                                                                                                                                  • Préparez-vous à effectuer une récupération rapide après sinistre en cas de catastrophe, telle qu'une panne du disque de base de données ou un sinistre du centre de données.


                                                                                                                                                   

                                                                                                                                                  Il n'existe aucun mécanisme pour déplacer les clés vers le Cloud après un déploiement HDS.

                                                                                                                                                  Processus de configuration de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Cela comprend la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, la mise en production. Cela convertit toute l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases de configuration, d’essai et de production sont abordées en détail dans les trois chapitres suivants.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides — Le Cloud Webex fournit automatiquement des mises à niveau continues. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et solliciter l’assistance de Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans le Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus — Si vous rencontrez des problèmes pour déployer ou utiliser Hybrid Data Security, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et résoudre le problème.

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Dans votre centre de données d'entreprise, vous déployez la sécurité des données hybrides en tant que cluster unique de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Pendant le processus d'installation, nous vous fournissons le fichier OVA pour configurer l'appliance virtuelle sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise votre serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion à Syslogd et à la base de données dans l'outil de configuration HDS.)

                                                                                                                                                  Modèle de déploiement de la sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous en recommandons au moins trois, et vous pouvez en avoir jusqu'à cinq. Avoir plusieurs nœuds garantit que le service n’est pas interrompu au cours d’une mise à niveau logicielle ou d’une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent à la même banque de données clé et enregistrent l'activité sur le même serveur syslog. Les nœuds eux-mêmes sont apatrides et traitent les demandes de clés de manière ronde, comme indiqué par le cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud individuel hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu’un seul cluster par organisation.

                                                                                                                                                  Mode d'évaluation de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous l'essayez d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d'essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d'autres services du domaine de sécurité. Vos autres utilisateurs continuent à utiliser le domaine de sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et tous les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de la version d'essai et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous passez le déploiement en production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui ont été utilisées pendant l'essai. Cependant, vous ne pouvez pas passer d'un mode de production à l'essai original. Si vous devez désactiver le service, par exemple pour effectuer une reprise après sinistre, lorsque vous réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode de production. Si les utilisateurs conservent l'accès aux données à ce stade dépend de si vous avez réussi à maintenir les sauvegardes de la banque de données clés et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de secours sécurisé. En cas de sinistre du centre de données, vous pouvez basculer manuellement votre déploiement vers le centre de données de secours.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Basculement manuel vers le centre de données de veille

                                                                                                                                                  Les bases de données des centres de données actifs et en attente sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en attente est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en attente restent toujours à jour avec la dernière version du logiciel HDS.


                                                                                                                                                   

                                                                                                                                                  Les nœuds actifs de sécurité des données hybrides doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en attente pour la reprise après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en attente :

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Le centre de données en attente doit refléter l'environnement de production des machines virtuelles et une base de données de sauvegarde PostgreSQL ou Microsoft SQL Server. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles. (Voir Centre de données en attente pour la reprise après sinistre pour une vue d'ensemble de ce modèle de basculement.)

                                                                                                                                                  • Assurez-vous que la synchronisation de la base de données est activée entre la base de données des nœuds de cluster actifs et passifs.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré dans l’organisation et connecté au Cloud, mais ne gérera aucun trafic.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez les fichiers syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après la configuration passiveMode dans le fichier ISO et en l'enregistrant, vous pouvez créer une autre copie du fichier ISO sans passiveMode la configuration et l’enregistrer dans un endroit sécurisé. Cette copie du fichier ISO sans passiveMode configurée peut aider à un processus de basculement rapide pendant la reprise après sinistre. Voir Reprise après sinistre à l'aide du centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  Hybrid Data Security prend en charge les proxys explicites, transparents et non-inspectés. Vous pouvez lier ces proxys à votre déploiement afin de sécuriser et surveiller le trafic de l'entreprise vers le Cloud. Vous pouvez utiliser une interface d'administration de plateforme sur les nœuds pour la gestion des certificats et pour vérifier l'état global de la connectivité après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas la configuration du nœud HDS Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent non inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non inspectant. Aucune mise à jour du certificat n'est requise.

                                                                                                                                                  • Proxy transparent de tunneling ou d'inspection – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTP ou HTTPS n'est nécessaire sur les nœuds. Cependant, les nœuds ont besoin d'un certificat racine afin qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP : affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPS : fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun—Aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPS comme protocole proxy.

                                                                                                                                                        Vous devez saisir le nom d'utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et de proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy d'inspection transparente et d'inspection explicite HTTPS, le même certificat racine doit être installé sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations de proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Dans les déploiements avec des configurations de proxy explicites qui ne permettent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloquée. Dans ce mode, l’enregistrement du nœud et d’autres tests de connectivité proxy peuvent continuer.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Exigences relatives aux licences Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Configuration minimale requise pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous avez besoin de Docker Desktop pour exécuter un programme d'installation. Docker a récemment mis à jour son modèle de licence. Votre organisation peut nécessiter un abonnement payant pour Docker Desktop. Pour plus de détails, consultez le billet de blog de Docker, « Docker met à jour et étend nos abonnements à nos produits ».

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) approuvée

                                                                                                                                                  Par défaut, nous faisons confiance aux AC de la liste Mozilla (à l’exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou d'être un hôte en direct. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple, hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir de * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides vers les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine CN, pas un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine CN. Choisissez un domaine qui peut s'appliquer à la fois aux déploiements d'essai et de production.

                                                                                                                                                  • Signature non SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour valider les connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté en tant que fichier PKCS #12 protégé par mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel qu'OpenSSL pour changer le format de votre certificat.

                                                                                                                                                  Vous devrez saisir le mot de passe lorsque vous exécuterez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'impose pas de contraintes d'utilisation des clés ou d'utilisation étendue des clés. Certaines autorités de certification exigent que des contraintes d'utilisation de clés étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Exigences de l'organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous allez configurer en tant que nœuds de sécurité des données hybrides dans votre cluster ont les exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • VMware ESXi 6.5 (ou version ultérieure) installé et en cours d'exécution.


                                                                                                                                                     

                                                                                                                                                    Vous devez effectuer la mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Exigences du serveur de base de données


                                                                                                                                                   

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N’utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences du serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 nécessite Service Pack 2 et Cumulative Update 2 ou version plus récente.

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, 16 Go de mémoire principale, espace disque dur suffisant et surveillance pour s'assurer qu'il n'est pas dépassé (2 To recommandés si vous souhaitez exécuter la base de données pendant une longue période sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Pilote Postgres JDBC driver 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version de pilote prend en charge SQL Server Always On (Instances de cluster de basculement Always On et groupes de disponibilité Always On).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez configurer votre environnement comme suit :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L'outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l'authentification Windows pour accéder à la base de données du Keystore. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS et WSS sortants

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex de la Configuration réseau requise pour les services Webex

                                                                                                                                                  Outil de configuration HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortant

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les organisateurs Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients ont besoin d'accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, à des fins administratives.

                                                                                                                                                  Les URL des hôtes d'identité commune (CI) sont spécifiques à la région. Voici les hôtes CI actuels :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'hôte Common Identity

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Exigences du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s'intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d'authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPS

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPS

                                                                                                                                                    • Digest authentification avec HTTPS uniquement

                                                                                                                                                  • Pour un proxy d'inspection transparent ou un proxy explicite HTTPS, vous devez avoir une copie du certificat racine du proxy. Les instructions de déploiement de ce guide vous indiquent comment télécharger la copie dans les magasins de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à passer par le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic web peuvent interférer avec les connexions des sockets web. Si ce problème se produit, contournement (sans inspection) du trafic vers wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les prérequis pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pack Pro pour Cisco Webex Control Hub et obtenez les identifiants d’un compte avec les droits d’administrateur de l’organisation complets. Contactez votre partenaire Cisco ou votre gestionnaire de compte pour obtenir de l’aide sur ce processus.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenir une chaîne de certificats contenant un certificat X.509, une clé privée et tout certificat intermédiaire. La chaîne de certificats doit répondre aux exigences de la section X.509 Exigences de certificat.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d'au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences relatives à l'hôte virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données clé pour le cluster, conformément aux exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, une fois installées, créent le schéma de base de données.)

                                                                                                                                                  2. Rassemblez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (dbname) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage des clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L’environnement de sauvegarde reflète l’environnement de production des machines virtuelles et d’un serveur de base de données de sauvegarde. Par exemple, si la production a 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit avoir 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter les journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (la valeur par défaut est UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créez une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter une perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier ISO de configuration généré pour les nœuds de sécurité des données hybrides.


                                                                                                                                                   

                                                                                                                                                  Étant donné que les nœuds de sécurité des données hybrides stockent les clés utilisées pour le chiffrement et le déchiffrement du contenu, le fait de ne pas maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex mettent leurs clés en cache, de sorte qu’une panne ne sera peut-être pas immédiatement perceptible mais deviendra évidente au fil du temps. Si les pannes temporaires sont impossibles à prévenir, elles sont récupérables. Cependant, la perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent maintenir des sauvegardes fréquentes de la base de données et du fichier ISO de configuration et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Assurez-vous que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) sur n'importe quelle machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l'instance Docker pour télécharger et exécuter l'outil d'installation HDS, qui construit les informations de configuration locale pour tous les nœuds de sécurité des données hybrides. Votre organisation peut avoir besoin d’une licence Docker Desktop. Reportez-vous à la section Configuration minimale du bureau Docker pour plus d'informations.

                                                                                                                                                  Pour installer et exécuter l'outil de configuration HDS, la machine locale doit disposer de la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec Hybrid Data Security, assurez-vous qu'il répond aux exigences du serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans Active Directory appelé HdsTrialGroup, et ajouter des utilisateurs pilotes. Le groupe d’essai peut avoir jusqu’à 250 utilisateurs. Le HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le Configuration > menu Sélection d'objet. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Lors de la sélection des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de la sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu dans les espaces qui ont été créés par les utilisateurs pilotes. La perte devient apparente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Configurer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de la sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l'outil de configuration HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, telle que les paramètres réseau.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console VM et configurez les informations d'authentification de connexion. Configurez les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat proxy au magasin d'approbation si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV auprès du Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (pas sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utiliserez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez à votre organisation d’activer la sécurité des données hybrides. Pour trouver le numéro de compte, cliquez sur l’engrenage en haut à droite, à côté du nom de votre organisation.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide de la page Paramètres. Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide.


                                                                                                                                                   

                                                                                                                                                  Les anciennes versions du progiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n’avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre machine.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version ultérieure de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de la sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite l'ISO pour configurer votre hôte Hybrid Data Security.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d’un compte Control Hub avec tous les droits d’administrateur pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker à l'étape 5. Ce tableau donne quelques variables d’environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Le fichier ISO de configuration que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous effectuez des modifications de configuration, comme suit :

                                                                                                                                                    • Identifiants de base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modification de la politique d’habilitation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  En environnement régulier :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connecter au registre d'images Docker, saisissez les informations suivantes :

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  En environnement régulier :

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans des environnements réguliers sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements réguliers avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d'exécution, vous voyez « Écoute du serveur express sur le port 8080 ».

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  Utilisez un navigateur Web pour accéder à l'hôte local, http://127.0.0.1:8080 et saisissez le nom d’utilisateur administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche alors l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Sur la page d'aperçu de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO, vous avez les options suivantes :

                                                                                                                                                  • Non—Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la barre de navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé de certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaîne de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour que HDS accède à votre banque de données clé :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur.

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username.

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données dans le formulaire <hostname>:<port> ou <IP-address>:<port>.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l'authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d'hôte.

                                                                                                                                                    Si vous utilisez l'authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur disposant de tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférer TLS(option par défaut)

                                                                                                                                                  Les nœuds HDS ne nécessitent pas de protocole TLS pour se connecter au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  Exiger TLS

                                                                                                                                                  Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat


                                                                                                                                                   

                                                                                                                                                  Ce mode n’est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud abandonne la connexion.

                                                                                                                                                  Utilisez la commande Certificat racine de base de données située sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Exiger TLS et vérifier le signataire du certificat et le nom d'hôte

                                                                                                                                                  • Les nœuds HDS se connectent uniquement si le serveur de base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S'ils ne correspondent pas, le nœud abandonne la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de base de données. Les noms doivent correspondre exactement, ou le nœud abandonne la connexion.

                                                                                                                                                  Utilisez la commande Certificat racine de base de données située sous la liste déroulante pour télécharger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l'outil de configuration HDS teste la connexion TLS au serveur de base de données. L'outil vérifie également le signataire du certificat et le nom d'hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir d'ignorer l'erreur et de continuer l'installation. (En raison des différences de connectivité, les nœuds HDS peuvent être en mesure d'établir la connexion TLS même si la machine de l'outil de configuration HDS ne peut pas la tester avec succès.)

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n'est pas résolvable DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l'URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, vérifiez Votre serveur syslog est-il configuré pour le chiffrement SSL ?.

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog, choisissez le paramètre approprié pour votre fichier ISO : Choisir ou Newline est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion à la base de données dans Paramètres avancés. En général, ce paramètre est le seul que vous souhaitez modifier :

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service.

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de vie de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour arrêter l’outil de configuration, tapez CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.


                                                                                                                                                   

                                                                                                                                                  Nous n'avons jamais de copie de cette clé et ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer le fichier OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur le Sélectionner un nom et un dossier page , saisir un Nom de la machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur le Sélectionner une ressource de calcul page , choisissez la ressource de calcul de destination, puis cliquez sur Suivant.

                                                                                                                                                  Un contrôle de validation est effectué. Une fois terminé, les détails du modèle s'affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration de la ressource sur le Configuration page , cliquez sur 4 UNITÉS CENTRALES puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur le Sélectionner le stockage page , cliquez sur Suivant pour accepter le format disque par défaut et la politique de stockage des machines virtuelles.

                                                                                                                                                  9

                                                                                                                                                  Sur le Sélectionner les réseaux, choisissez l’option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la machine virtuelle.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle, configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le nom d'hôte FQDN (nom d'hôte et domaine) ou un seul mot nom d'hôte pour le nœud.

                                                                                                                                                     
                                                                                                                                                    • Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir un enregistrement réussi sur le Cloud, utilisez uniquement des caractères minuscules dans le FDQN ou le nom d'hôte que vous configurez pour le nœud. La mise en majuscules n'est pas prise en charge pour le moment.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP— Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                     

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Mask—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d'un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous préférez, vous pouvez ignorer la configuration du paramètre réseau et suivre les étapes de Configurer la machine virtuelle de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.


                                                                                                                                                   

                                                                                                                                                  L'option de configuration des paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L'option peut ne pas être disponible dans les versions antérieures.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la MV du nœud, puis choisissez Mise sous tension > Mise sous tension.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte VM. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console VM du nœud de sécurité des données hybrides pour la première fois et définir les informations d'authentification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau pour le nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez votre VM de nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La machine virtuelle démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez les identifiants et mots de passe par défaut suivants pour vous connecter et modifier les informations d'authentification :

                                                                                                                                                  1. Connexion : admin

                                                                                                                                                  2. Mot de passe : cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer le fichier OVA de l'hôte HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration.

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Modifiez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre stratégie réseau.

                                                                                                                                                  Vous n'avez pas besoin de définir le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle pour que les modifications soient prises en compte.

                                                                                                                                                  Télécharger et monter l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il ne doit être exposé que sur la base du « besoin d’en connaître », pour l’accès des machines virtuelles de sécurité des données hybrides et des administrateurs qui pourraient avoir besoin d’effectuer des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder à la banque de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur :

                                                                                                                                                  1. Dans le volet de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste des matériels de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste Banque de données, faites un clic droit sur la banque de données de vos machines virtuelles et cliquez sur Parcourir la banque de données.

                                                                                                                                                  4. Cliquez sur l'icône Upload Files, puis cliquez sur Upload File.

                                                                                                                                                  5. Accédez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermer la boîte de dialogue de la banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement des options de modification restreintes.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO de banque de données et accédez à l'emplacement où vous avez téléchargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecté à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique le nécessite, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds auront pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l'intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite un proxy, utilisez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d'inspection transparent ou un proxy explicite HTTPS, vous pouvez utiliser l'interface du nœud pour télécharger et installer le certificat racine. Vous pouvez également vérifier la connexion proxy à partir de l'interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Saisissez l’URL de configuration du nœud HDS https://[HDS Node IP or FQDN]/setup dans un navigateur Web, saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez dans Trust Store & Proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy transparent non-inspectant – Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy non-inspectant. Aucune mise à jour du certificat n'est requise.
                                                                                                                                                  • Proxy d'inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucun changement de configuration HTTPS n'est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d'un certificat racine pour qu'ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par le service informatique pour appliquer des politiques sur les sites Web qui peuvent être visités et les types de contenu qui ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPS).
                                                                                                                                                  • Proxy explicite—Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser, et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FQDN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (affiche et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que prend en charge votre serveur proxy.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucun—Aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise l'encodage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                      • Digest—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d'utilisateur et le mot de passe avant l'envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxys HTTPS.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d'utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d'inspection transparent, un proxy explicite HTTP avec authentification de base ou un proxy explicite HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d'entité finale, puis naviguez jusqu'à choisir le certificat racine pour le proxy.

                                                                                                                                                  Le certificat est téléchargé mais pas encore installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche en chevron située à côté du nom de l'émetteur du certificat pour obtenir plus de détails ou cliquez sur Supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d'erreur qui indique la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS. Cette condition est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez continuer avec la configuration et le nœud fonctionnera en mode de résolution DNS externe bloquée. Si vous pensez qu'il s'agit d'une erreur, procédez comme suit, puis consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Une fois le test de connexion réussi, pour le proxy explicite défini sur https uniquement, activez le commutateur pour Router toutes les demandes https du port 443/444 de ce nœud via le proxy explicite. Ce paramètre nécessite 15 secondes pour prendre effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur Installer tous les certificats dans le Trust Store (s'affiche pour un proxy explicite HTTPS ou un proxy d'inspection transparent) ou Redémarrer (s'affiche pour un proxy explicite HTTP), lisez l'invite, puis cliquez sur Installer si vous êtes prêt.

                                                                                                                                                  Le nœud redémarre en quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, connectez-vous à nouveau si nécessaire, puis ouvrez la page Aperçu pour vérifier les vérifications de connectivité et vous assurer qu'elles sont toutes en vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S'il y a des problèmes de connectivité, un problème courant est que certains des domaines du Cloud répertoriés dans les instructions d'installation sont bloqués au niveau du proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la machine virtuelle Configurer la sécurité des données hybrides, enregistre le nœud auprès du Cloud Webex et le transforme en nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour fournir une redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données hybrides s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le noeud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Sécurité des données hybrides, le nouveau cluster contenant le nœud que vous avez enregistré s'affiche. Le nœud téléchargera automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer d'autres nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, il vous suffit de créer des machines virtuelles supplémentaires et de monter le même fichier ISO de configuration, puis d'enregistrer le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                   

                                                                                                                                                  À l'heure actuelle, les machines virtuelles de sauvegarde que vous avez créées dans Terminer les prérequis pour la sécurité des données hybrides sont des hôtes de secours qui ne sont utilisés qu'en cas de reprise après sinistre ; elles ne sont pas enregistrées sur le système jusque-là. Pour plus de détails, voir Reprise après sinistre à l'aide du centre de données de secours.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que tous les bloqueurs de pop-up dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir du fichier OVA, en répétant les étapes dans Installer le fichier OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle machine virtuelle, en répétant les étapes décrites dans Configurer la machine virtuelle de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes décrites dans Charger et monter l'ISO de configuration HDS.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes de Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu situé à gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le second champ, saisissez l'adresse IP interne ou le nom de domaine complet (FDQN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le noeud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests ont réussi, la page Autoriser l'accès au nœud de sécurité des données hybrides s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page Sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous démarriez un essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)
                                                                                                                                                  Lancer un essai et passer à la production

                                                                                                                                                  Flux des tâches d'essai à production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue de la mise en production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez le HdsTrialGroup objet de groupe.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant que vous puissiez démarrer un essai. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Démarrer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d’essai avec l’une des actions suivantes :

                                                                                                                                                  Activer l’essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner le HdsTrialGroup objet de groupe pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai pour votre organisation. Pour des instructions, reportez-vous au Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Start Trial.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l'adresse électronique d'un ou plusieurs utilisateurs à utiliser vos nœuds de sécurité des données hybrides pour les services de chiffrement et d'indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester votre déploiement de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d’évaluation et ajoutez plusieurs utilisateurs de la version d’évaluation.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d’un espace donné sont définies par le créateur de l’espace. Connectez-vous à l’application Webex en tant qu’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.


                                                                                                                                                   

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n'est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier si un utilisateur a d'abord établi un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Vous devez trouver une entrée telle que la suivante (identifiants raccourcis pour la lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier si un utilisateur demande une clé existante au KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier si un utilisateur demande la création d’une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier si un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Surveiller la santé de la sécurité des données hybrides

                                                                                                                                                  Un indicateur d’état dans Control Hub vous indique si tout va bien avec le déploiement de la sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par e-mail. Vous serez averti lorsqu’il y a des alarmes ayant un impact sur le service ou des mises à niveau logicielles.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres de sécurité des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, saisissez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre essai

                                                                                                                                                  Après avoir activé une version d’évaluation et ajouté l’ensemble initial des utilisateurs de la version d’évaluation, vous pouvez ajouter ou supprimer des membres de la version d’évaluation à tout moment pendant que la version d’évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS du Cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS cloud la récupérera pour le compte de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode d'essai de la zone Statut du service, cliquez sur Ajouter des utilisateurs, ou cliquez sur Afficher et modifier pour supprimer des utilisateurs de l'essai.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou plusieurs utilisateurs à ajouter, ou cliquez sur le X d'un ID utilisateur pour supprimer l'utilisateur de l'essai. Puis cliquez sur Enregistrer.

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes convaincu que votre déploiement fonctionne bien pour les utilisateurs de l'essai, vous pouvez passer à la production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et d’autres services du domaine de sécurité. Vous ne pouvez pas revenir en mode d'évaluation de la production à moins que vous ne désactiviez le service dans le cadre de la reprise après sinistre. La réactivation du service nécessite que vous configuriez un nouvel essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Service Status, cliquez sur Move to Production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre fin à votre essai sans passer à la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l'essai et déplace les utilisateurs de l'essai vers les services de sécurité des données du Cloud. Les utilisateurs de l’essai perdront l’accès aux données qui ont été chiffrées pendant l’essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l’essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer le calendrier de mise à niveau du cluster

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour définir le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau Aperçu sur la droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Modifier la configuration du nœud

                                                                                                                                                  Occasionnellement, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • Modification des certificats x.509 pour cause d’expiration ou pour d’autres raisons.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la modification du nom de domaine CN d'un certificat. Le domaine doit correspondre au domaine d'origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • Mise à jour des paramètres de base de données pour passer à une réplique de la base de données PostgreSQL ou Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nous ne prenons pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server, ou l’inverse. Pour changer l'environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Créer une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  Par ailleurs, pour des raisons de sécurité, Hybrid Data Security utilise des mots de passe de compte de service qui ont une durée de vie de neuf mois. Une fois que l'outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nœuds HDS dans le fichier de configuration ISO. Lorsque les mots de passe de votre organisation arrivent à expiration, vous recevez un avis de l’équipe Webex vous invitant à réinitialiser le mot de passe de votre compte machine. (Le courrier électronique contient le texte, « Utilisez l'API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n'ont pas encore expiré, l'outil vous offre deux options :

                                                                                                                                                  • Réinitialisation logicielle—Les anciens et les nouveaux mots de passe fonctionnent tous deux pendant 10 jours maximum. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nœuds.

                                                                                                                                                  • Réinitialisation matérielle—Les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, cela a un impact sur votre service HDS, nécessitant une réinitialisation immédiate et le remplacement du fichier ISO sur tous les nœuds.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l'appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cette machine. Le processus de configuration nécessite les identifiants d’un compte Control Hub avec tous les droits d’administrateur pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS fonctionne derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'identification) via les variables d'environnement Docker lors de l'affichage du conteneur Docker dans 1.e. Ce tableau donne quelques variables d’environnement possibles :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L'ISO contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l'ISO lorsque vous effectuez des modifications de configuration, y compris les informations d'authentification de la base de données, les mises à jour des certificats ou les modifications de la politique d'autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. Sur la ligne de commande de votre machine, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    En environnement régulier :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Cette étape nettoie les images précédentes de l'outil de configuration HDS. S'il n'y a pas d'images précédentes, il renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connecter au registre d'images Docker, saisissez les informations suivantes :

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. À l'invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    En environnement régulier :

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l'extraction est terminée, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans des environnements réguliers sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d'exécution, vous voyez « Écoute du serveur express sur le port 8080 ».

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l'hôte local, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    L'outil de configuration ne prend pas en charge la connexion à localhost via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à localhost.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client Control Hub, puis cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les invites pour terminer l'outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour arrêter l’outil de configuration, tapez CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle machine virtuelle de nœud de sécurité des données hybrides et enregistrez-la à l'aide du nouveau fichier ISO de configuration. Pour des instructions plus détaillées, voir Créer et enregistrer d'autres nœuds.

                                                                                                                                                  1. Installez l’OVA de l'hôte HDS.

                                                                                                                                                  2. Configurez la VM HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrer le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nœuds HDS existants qui exécutent l'ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud tour à tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. dans le volet de navigation de gauche du client VMware vSphere, faites un clic droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquer CD/DVD Drive 1, sélectionnez l'option à monter à partir d'un fichier ISO et accédez à l'emplacement où vous avez téléchargé le nouveau fichier ISO de configuration.

                                                                                                                                                  4. cochez Se connecter au démarrage.

                                                                                                                                                  5. enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cloud Cisco Webex. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloquée.

                                                                                                                                                  Si vos nœuds sont en mesure de résoudre les noms DNS publics via des serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification d'administrateur que vous avez configurées pour le nœud, puis cliquez sur Connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (la page par défaut).

                                                                                                                                                  Lorsque cette option est activée, Résolution DNS externe bloquée est définie sur Oui.

                                                                                                                                                  3

                                                                                                                                                  Rendez-vous sur la page Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion au proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n'a pas réussi, le nœud n'a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenir à la page Aperçu, la résolution DNS externe bloquée doit être définie sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion proxy sur chaque nœud de votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès supplémentaire à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et éteindre la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte Sécurité des données hybrides, cliquez sur Afficher tout pour afficher la page Ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Sur l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Désenregistrer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la VM. (Dans le volet de navigation de gauche, faites un clic droit sur la VM et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la machine virtuelle, n'oubliez pas de démonter le fichier ISO de configuration. Sans le fichier ISO, vous ne pouvez pas utiliser la machine virtuelle pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre à l'aide du centre de données en attente

                                                                                                                                                  Le service le plus critique fourni par votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également responsable de retourner les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple, les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster continue de fonctionner et que des sauvegardes adéquates soient maintenues. La perte de la base de données Hybrid Data Security ou de l’ISO de configuration utilisé pour le schéma entraînera une PERTE IRRÉCUPÉRABLE de contenu client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre provoque l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données de secours.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil de configuration HDS et suivez les étapes mentionnées dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés, ajoutez la configuration ci-dessous ou supprimez le passiveMode configuration pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que celui-ci est configuré.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Gardez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l'accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le volet de navigation gauche du client VMware vSphere, faites un clic droit sur la VM et cliquez sur Edit Settings..

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Edit Settings >CD/DVD Drive 1 et sélectionnez Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Assurez-vous que Connecté et Se connecter à la mise sous tension sont cochés afin que les modifications de configuration mises à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud du centre de données en veille.


                                                                                                                                                   

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de secours en mode passif en suivant les étapes décrites dans Configurer le centre de données de secours pour la reprise après sinistre.

                                                                                                                                                  (Facultatif) Démonter l'ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais certains clients préfèrent ne pas laisser des fichiers ISO montés en continu. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont récupéré la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez un nouvel ISO ou mettez à jour un ISO via l'outil de configuration, vous devez monter l'ISO mis à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont capté les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans vCenter Server Appliance, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > lecteur CD/DVD et décocher Fichier ISO Datastore.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarmes pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont inaccessibles, ou si le cluster fonctionne si lentement qu'il demande un délai d'expiration. Si les utilisateurs ne peuvent pas atteindre votre cluster de sécurité des données hybrides, ils présentent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les titres des espaces ne parviennent pas à être déchiffrés pour :

                                                                                                                                                    • Nouveaux utilisateurs ajoutés à un espace (impossible de récupérer les clés)

                                                                                                                                                    • Utilisateurs existants dans un espace utilisant un nouveau client (impossible de récupérer les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à fonctionner avec succès tant que leurs clients ont un cache des clés de chiffrement

                                                                                                                                                  Il est important que vous surveilliez correctement votre cluster de sécurité des données hybrides et que vous répondiez rapidement à toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec de l'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les bons identifiants de compte de service ont été utilisés dans la configuration du nœud.

                                                                                                                                                  Échec de l’accès au service Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l’inscription au service cloud.

                                                                                                                                                  L’inscription aux services du Cloud a été supprimée. Le renouvellement de l’inscription est en cours.

                                                                                                                                                  L’enregistrement du service Cloud a été abandonné.

                                                                                                                                                  L’inscription aux services du Cloud a pris fin. Le service s'arrête.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le déplacement de l'essai en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Vérifiez que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le NC du certificat a récemment été modifié et est maintenant différent du NC qui a été utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l’authentification aux services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'authentification du compte de service.

                                                                                                                                                  Impossible d’ouvrir le fichier du magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et l'exactitude du mot de passe sur le fichier du magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier les mesures.

                                                                                                                                                  Vérifiez l’accès du réseau local aux services de cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration du montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il est monté avec succès.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les directives générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez le Control Hub pour toutes les alertes et corrigez tous les éléments que vous y trouvez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour l'activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contactez l’assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus pour la sécurité des données hybrides

                                                                                                                                                  • Si vous arrêtez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en fermant tous les nœuds), perdez votre fichier ISO de configuration ou perdez l’accès à la base de données keystore, vos utilisateurs de l’application Webex ne peuvent plus utiliser les espaces de leur liste de personnes qui ont été créés avec les clés de votre KMS. Cela s’applique aussi bien aux déploiements d’essai qu’aux déploiements de production. Nous n'avons actuellement pas de solution de contournement ou de solution pour ce problème et vous invitons à ne pas fermer vos services HDS une fois qu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui dispose d'une connexion ECDH existante à un KMS conserve cette connexion pendant un certain temps (probablement une heure). Lorsqu'un utilisateur devient membre d'un essai de sécurité des données hybrides, le client de l'utilisateur continue à utiliser la connexion ECDH existante jusqu'à ce qu'elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement que l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l’organisation. Tous les utilisateurs sans essai ayant des connexions ECDH existantes aux services de sécurité des données précédents continueront d'utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (par expiration ou déconnexion et retour).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour faire le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire, et nous ne soutenons ni ne promouvons d'une manière plutôt que d'une autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme ligne directrice pour vous aider à créer un fichier qui répond aux exigences de certificat X.509 dans Exigences de certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installer OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Démarrez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat du serveur de votre autorité de certification, enregistrez-le sous hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier d'ensemble de certificats appelé hdsnode-bundle.pem. Le fichier bundle doit inclure le certificat du serveur, tous les certificats d'AC intermédiaires et les certificats d'AC racine, au format ci-dessous :

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom convivial kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit listée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName: kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les conditions préalables à la sécurité des données hybrides. Vous utiliserez le hdsnode.p12 et le mot de passe que vous avez défini pour celui-ci, dans Créer une configuration ISO pour les hôtes HDS.


                                                                                                                                                   

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic de collecte des métriques sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines mesures au Cloud Webex. Ceux-ci comprennent des mesures système pour le maximum de tas, le tas utilisé, la charge du CPU et le nombre de threads ; des mesures sur les threads synchrones et asynchrones ; des mesures sur les alertes impliquant un seuil de connexions de chiffrement, la latence ou la longueur d'une file d'attente de demandes ; des mesures sur la banque de données ; et des mesures de connexion de chiffrement. Les nœuds envoient du matériel de clé chiffrée sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • Demandes de chiffrement des clients, qui sont acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer des proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  Websocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys SQUID qui inspectent le trafic HTTPS peuvent interférer avec l'établissement de websocket ( wss:) les connexions requises par Hybrid Data Security. Ces sections donnent des conseils sur la façon de configurer différentes versions de Squid à ignorer wss: le trafic pour le bon fonctionnement des services.

                                                                                                                                                  Calamars 4 et 5

                                                                                                                                                  Ajouter le on_unsupported_protocol directive à squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Calamar 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid.conf. Ces règles sont susceptibles d’être modifiées au fur et à mesure que nous développons des fonctionnalités et mettons à jour le Cloud Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Préface

                                                                                                                                                  Informations nouvelles et modifiées

                                                                                                                                                  Date

                                                                                                                                                  Modifications effectuées

                                                                                                                                                  20 octobre 2023

                                                                                                                                                  7 août 2023

                                                                                                                                                  23 mai 2023

                                                                                                                                                  6 décembre 2022

                                                                                                                                                  23 novembre 2022

                                                                                                                                                  13 octobre 2021

                                                                                                                                                  Docker Desktop doit exécuter un programme d’installation avant de pouvoir installer les nœuds HDS. Voir Exigences requises pour le bureau Docker.

                                                                                                                                                  24 juin 2021

                                                                                                                                                  Notez que vous pouvez réutiliser le fichier de clé privée et le CSR pour demander un autre certificat. Voir Utiliser OpenSSL pour générer un fichier PKCS12 pour plus de détails.

                                                                                                                                                  30 avril 2021

                                                                                                                                                  Modification des exigences de la MV pour l'espace disque dur local à 30 Go. Voir Configuration minimale requise pour l’organisateur virtuel pour plus d’informations.

                                                                                                                                                  24 février 2021

                                                                                                                                                  L’outil de configuration HDS peut maintenant s’exécuter derrière un proxy. Voir Créer un ISO de configuration pour les hôtes HDS pour plus de détails.

                                                                                                                                                  2 février 2021

                                                                                                                                                  HDS peut maintenant fonctionner sans fichier ISO monté. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  11 janvier 2021

                                                                                                                                                  Ajout d'informations sur l'outil de configuration HDS et les proxys pour Créer un ISO de configuration pour les hôtes HDS.

                                                                                                                                                  13 octobre 2020

                                                                                                                                                  Mise à jour de Télécharger les fichiers d'installation.

                                                                                                                                                  8 octobre 2020

                                                                                                                                                  Mise à jour de la fonction Créer un ISO de configuration pour les hôtes HDS et Modifier la configuration du nœud avec des commandes pour les environnements FedRAMP.

                                                                                                                                                  14 août 2020

                                                                                                                                                  Mise à jour de l'option Créer un ISO de configuration pour les hôtes HDS et Modifier la configuration du nœud avec des modifications sur le processus de connexion.

                                                                                                                                                  5 août 2020

                                                                                                                                                  Mise à jour de Tester votre déploiement de sécurité des données hybrides pour les changements dans les messages journaux.

                                                                                                                                                  Mise à jour des exigences des organisateurs virtuels pour supprimer le nombre maximum d’organisateurs.

                                                                                                                                                  16 juin 2020

                                                                                                                                                  Mise à jour de l’option Supprimer un nœud pour les modifications dans l’interface utilisateur du Control Hub.

                                                                                                                                                  4 juin 2020

                                                                                                                                                  Mise à jour de la section Créer une configuration ISO pour les hôtes HDS pour les modifications apportées aux paramètres avancés que vous pouvez configurer.

                                                                                                                                                  29 mai 2020

                                                                                                                                                  Mise à jour de la section Créer un ISO de configuration pour les hôtes HDS pour montrer que vous pouvez également utiliser TLS avec les bases de données SQL Server, les modifications de l'interface utilisateur et d'autres clarifications.

                                                                                                                                                  5 mai 2020

                                                                                                                                                  Mise à jour des Exigences de l'organisateur virtuel pour afficher la nouvelle exigence d'ESXi 6.5.

                                                                                                                                                  21 avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec de nouveaux hôtes CI pour les Amériques.

                                                                                                                                                  1er avril 2020

                                                                                                                                                  Mise à jour des exigences de connectivité externe avec des informations sur les hôtes CI régionaux.

                                                                                                                                                  20 février 2020Mise à jour de l'option Créer un ISO de configuration pour les hôtes HDS avec des informations sur le nouvel écran des paramètres avancés facultatifs dans l'outil de configuration HDS.
                                                                                                                                                  4 février 2020Mise à jour des Exigences requises pour le serveur proxy.
                                                                                                                                                  16 décembre 2019Clarification de l'exigence pour le mode de résolution DNS externe bloqué de fonctionner dans Exigences du serveur proxy.
                                                                                                                                                  19 novembre 2019

                                                                                                                                                  Ajout d'informations sur le mode de résolution DNS externe bloqué dans les sections suivantes :

                                                                                                                                                  8 novembre 2019

                                                                                                                                                  Vous pouvez maintenant configurer les paramètres réseau pour un nœud lors du déploiement du fichier OVA plutôt que par la suite.

                                                                                                                                                  Mise à jour des sections suivantes en conséquence :

                                                                                                                                                  L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes.

                                                                                                                                                  6 septembre 2019

                                                                                                                                                  Ajout de SQL Server Standard à Exigences du serveur de base de données.

                                                                                                                                                  29 août 2019Ajout de l'annexe Configurer les proxys Squid pour la sécurité des données hybrides avec des instructions sur la configuration des proxys Squid pour ignorer le trafic websocket pour un fonctionnement correct.
                                                                                                                                                  20 août 2019

                                                                                                                                                  Ajout et mise à jour de sections pour couvrir la prise en charge du proxy pour les communications du nœud de sécurité des données hybrides vers le Cloud Webex.

                                                                                                                                                  Pour accéder uniquement au contenu de la prise en charge du proxy d’un déploiement existant, consultez l’article d’aide Prise en charge du proxy pour la sécurité des données hybrides et le maillage vidéo Webex .

                                                                                                                                                  13 juin 2019Mise à jour du flux des tâches d’essai vers la production avec un rappel pour synchroniser l’objet du groupe HdsTrialGroup avant de démarrer un essai si votre organisation utilise la synchronisation du répertoire.
                                                                                                                                                  6 mars 2019
                                                                                                                                                  28 février 2019
                                                                                                                                                  • Correction de la quantité d'espace disque dur local par serveur que vous devez réserver lors de la préparation des hôtes virtuels qui deviennent les nœuds de sécurité des données hybrides, de 50 Go à 20 Go, pour refléter la taille du disque que le fichier OVA crée.

                                                                                                                                                  26 février 2019
                                                                                                                                                  • Les nœuds de sécurité des données hybrides prennent maintenant en charge les connexions chiffrées avec les serveurs de base de données PostgreSQL et les connexions de journalisation chiffrées vers un serveur syslog compatible TLS. Mise à jour de Créer un ISO de configuration pour les hôtes HDS avec des instructions.

                                                                                                                                                  • Suppression des URL de destination dans le tableau « Exigences de connectivité Internet pour les MV du nœud de sécurité des données hybrides ». Le tableau fait maintenant référence à la liste conservée dans le tableau « URL supplémentaires pour les services hybrides Webex Teams » des Exigences réseau pour les services Webex Teams.

                                                                                                                                                  24 janvier 2019

                                                                                                                                                  • Hybrid Data Security prend maintenant en charge Microsoft SQL Server en tant que base de données. SQL Server Always On (Toujours sur les clusters de basculement et Toujours sur les groupes de disponibilité) est pris en charge par les pilotes JDBC utilisés dans Hybrid Data Security. Ajout de contenu lié au déploiement avec SQL Server.

                                                                                                                                                    La prise en charge de Microsoft SQL Server est destinée aux nouveaux déploiements de Hybrid Data Security uniquement. Nous ne prenons actuellement pas en charge la migration des données de PostgreSQL vers Microsoft SQL Server dans un déploiement existant.

                                                                                                                                                  5 novembre 2018
                                                                                                                                                  19 octobre 2018

                                                                                                                                                  31 juillet 2018

                                                                                                                                                  21 mai 2018

                                                                                                                                                  Changement de terminologie pour refléter la nouvelle charte graphique de Cisco Spark :

                                                                                                                                                  • Cisco Spark Hybrid Data Security est maintenant Hybrid Data Security.

                                                                                                                                                  • L'application Cisco Spark est maintenant l'application Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud est maintenant le Cloud Webex.

                                                                                                                                                  11 avril 2018
                                                                                                                                                  22 février 2018
                                                                                                                                                  15 février 2018
                                                                                                                                                  • Dans la table Exigences pour le certificat X.509, spécifiez que le certificat ne peut pas être un certificat générique et que le KMS utilise le domaine NC et non un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  18 janvier 2018

                                                                                                                                                  2 novembre 2017

                                                                                                                                                  • Synchronisation du répertoire clarifiée du HdsTrialGroup.

                                                                                                                                                  • Correction des instructions pour télécharger le fichier de configuration ISO à monter sur les nœuds VM.

                                                                                                                                                  Première publication

                                                                                                                                                  Première publication

                                                                                                                                                  Commencer avec la sécurité des données hybrides

                                                                                                                                                  Présentation de la sécurité des données hybrides

                                                                                                                                                  Dès le premier jour, la sécurité des données a été au centre de la conception de l’application Webex. La pierre angulaire de cette sécurité est le chiffrement du contenu de bout en bout, activé par les clients de l’application Webex qui interagissent avec le service de gestion des clés (KMS). Le KMS est responsable de la création et de la gestion des clés cryptographiques que les clients utilisent pour crypter et décrypter dynamiquement les messages et les fichiers.

                                                                                                                                                  Par défaut, tous les clients de Webex App bénéficient d’un chiffrement de bout en bout avec des clés dynamiques stockées dans le cloud KMS, dans le domaine de sécurité de Cisco. La sécurité des données hybrides déplace le KMS et d'autres fonctions liées à la sécurité vers le centre de données de votre entreprise, de sorte que personne d'autre que vous ne détient les clés de votre contenu chiffré.

                                                                                                                                                  Architecture du domaine de sécurité

                                                                                                                                                  L’architecture du Cloud Webex sépare les différents types de service en domaines de confiance distincts, comme illustré ci-dessous.

                                                                                                                                                  Domaines de séparation (sans sécurité des données hybrides)

                                                                                                                                                  Pour mieux comprendre la sécurité des données hybrides, examinons tout d’abord ce cas du Cloud pur, dans lequel Cisco fournit toutes les fonctions dans ses domaines du Cloud. Le service d'identité, le seul endroit où les utilisateurs peuvent être directement corrélés avec leurs informations personnelles telles que l'adresse électronique, est séparé logiquement et physiquement du domaine de sécurité B. Les deux sont séparés du domaine dans lequel le contenu crypté est stocké, dans le centre de données C.

                                                                                                                                                  Dans ce diagramme, le client est l’application Webex qui s’exécute sur l’ordinateur portable d’un utilisateur et s’est authentifié auprès du service d’identité. Lorsque l'utilisateur compose un message à envoyer à un espace, les étapes suivantes se produisent :

                                                                                                                                                  1. le client établit une connexion sécurisée avec le service de gestion de clés (KMS), puis demande une clé pour crypter le message. la connexion sécurisée utilise ECDH et le KMS crypte la clé à l'aide d'une clé principale AES-256.

                                                                                                                                                  2. le message est chiffré avant de quitter le client. le client l'envoie au service d'indexation, qui crée des index de recherche cryptés pour faciliter les recherches futures du contenu.

                                                                                                                                                  3. le message chiffré est envoyé au service de conformité pour les vérifications de conformité.

                                                                                                                                                  4. le message chiffré est stocké dans le domaine de stockage.

                                                                                                                                                  Lorsque vous déployez la sécurité des données hybrides, vous déplacez les fonctions de sécurité du domaine (KMS, indexation et conformité) vers votre centre de données sur site. Les autres services cloud qui composent Webex (y compris le stockage d’identité et de contenu) restent dans les domaines de Cisco.

                                                                                                                                                  Collaborer avec d'autres organisations

                                                                                                                                                  Les utilisateurs de votre entreprise peuvent utiliser régulièrement l’application Webex pour collaborer avec des participants externes d’autres entreprises. Lorsque l'un de vos utilisateurs demande une clé pour un espace appartenant à votre organisation (car il a été créé par l'un de vos utilisateurs), votre KMS envoie la clé au client via un canal sécurisé ECDH. Cependant, lorsqu’une autre organisation possède la clé pour l’espace, votre KMS achemine la demande vers le cloud Webex via un canal ECDH séparé pour obtenir la clé à partir du KMS approprié, puis renvoie la clé à votre utilisateur sur le canal d’origine.

                                                                                                                                                  Le service KMS exécuté sur l'organisation A valide les connexions aux KMS dans d'autres organisations en utilisant les certificats PKI x.509. Voir Préparer votre environnement pour des détails sur la génération d'un certificat x.509 à utiliser avec votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Attentes pour déployer la sécurité des données hybrides

                                                                                                                                                  Processus d'installation de haut niveau

                                                                                                                                                  Ce document couvre la configuration et la gestion d'un déploiement de sécurité des données hybrides :

                                                                                                                                                  • Configurer la sécurité des données hybrides—Ceci inclut la préparation de l'infrastructure requise et l'installation du logiciel de sécurité des données hybrides, le test de votre déploiement avec un sous-ensemble d'utilisateurs en mode d'essai et, une fois vos tests terminés, le passage à la production. Cette action convertit l’ensemble de l’organisation à utiliser votre cluster de sécurité des données hybrides pour les fonctions de sécurité.

                                                                                                                                                    Les phases d’installation, d’essai et de production sont abordées en détail dans les trois prochains chapitres.

                                                                                                                                                  • Maintenez votre déploiement de sécurité des données hybrides–Le Cloud Webex fournit automatiquement les mises à jour en cours. Votre service informatique peut fournir une assistance de premier niveau pour ce déploiement et engager l'assistance Cisco si nécessaire. Vous pouvez utiliser les notifications à l’écran et configurer des alertes par courrier électronique dans Control Hub.

                                                                                                                                                  • Comprendre les alertes courantes, les étapes de dépannage et les problèmes connus–Si vous rencontrez des problèmes lors du déploiement ou de l'utilisation de la sécurité des données hybrides, le dernier chapitre de ce guide et l'annexe Problèmes connus peuvent vous aider à déterminer et à résoudre le problème.

                                                                                                                                                  Guide de déploiement de sécurité des données hybrides

                                                                                                                                                  Dans le centre de données de votre entreprise, vous déployez la sécurité des données hybrides sous la forme d’un seul cluster de nœuds sur des hôtes virtuels distincts. Les nœuds communiquent avec le Cloud Webex via des websockets sécurisés et un protocole HTTP sécurisé.

                                                                                                                                                  Au cours du processus d'installation, nous vous fournissons le fichier OVA pour configurer le dispositif virtuel sur les machines virtuelles que vous fournissez. Vous utilisez l'outil de configuration HDS pour créer un fichier ISO de configuration de cluster personnalisé que vous montez sur chaque nœud. Le cluster de sécurité des données hybrides utilise le serveur Syslogd fourni et la base de données PostgreSQL ou Microsoft SQL Server. (Vous configurez les détails de connexion de Syslogd et de base de données dans l'outil d'installation HDS.)

                                                                                                                                                  Guide de déploiement de sécurité des données hybrides

                                                                                                                                                  Le nombre minimum de nœuds que vous pouvez avoir dans un cluster est de deux. Nous recommandons au moins trois par cluster. Le fait d'avoir plusieurs nœuds garantit que le service n'est pas interrompu au cours d'une mise à niveau logicielle ou d'une autre activité de maintenance sur un nœud. (Le Cloud Webex ne met à niveau qu’un nœud à la fois.)

                                                                                                                                                  Tous les nœuds d'un cluster accèdent au même magasin de données de clés et enregistrent l'activité sur le même serveur Syslog. Les nœuds eux-mêmes sont sans état et gèrent les requêtes de clés de manière circulaire, comme indiqué par le Cloud.

                                                                                                                                                  Les nœuds deviennent actifs lorsque vous les enregistrez dans le Control Hub. Pour mettre un nœud hors service, vous pouvez le désenregistrer et le réenregistrer ultérieurement si nécessaire.

                                                                                                                                                  Nous ne prenons en charge qu'un seul cluster par organisation.

                                                                                                                                                  Mode d'essai de la sécurité des données hybrides

                                                                                                                                                  Après avoir configuré un déploiement de sécurité des données hybrides, vous essayez tout d'abord avec un ensemble d'utilisateurs pilotes. Pendant la période d’essai, ces utilisateurs utilisent votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et autres services de sécurité du domaine. Vos autres utilisateurs continuent d'utiliser le domaine de la sécurité du Cloud.

                                                                                                                                                  Si vous décidez de ne pas poursuivre le déploiement pendant la période d'essai et de désactiver le service, les utilisateurs pilotes et les utilisateurs avec lesquels ils ont interagi en créant de nouveaux espaces pendant la période d'essai perdront l'accès aux messages et au contenu. Ils verront « Ce message ne peut pas être déchiffré » dans l’application Webex.

                                                                                                                                                  Si vous êtes satisfait que votre déploiement fonctionne bien pour les utilisateurs de la version d'évaluation et que vous êtes prêt à étendre la sécurité des données hybrides à tous vos utilisateurs, vous déplacez le déploiement vers la production. Les utilisateurs pilotes continuent d'avoir accès aux clés qui étaient utilisées pendant l'essai. Cependant, vous ne pouvez pas aller et venir entre le mode de production et l'essai initial. Si vous devez désactiver le service, par exemple pour effectuer une récupération après sinistre, lorsque vous le réactivez, vous devez démarrer un nouvel essai et configurer l'ensemble des utilisateurs pilotes pour le nouvel essai avant de revenir en mode production. La question de savoir si les utilisateurs conservent l'accès aux données à ce stade dépend du fait que vous ayez réussi à maintenir les sauvegardes de la banque de données principale et du fichier de configuration ISO pour les nœuds de sécurité des données hybrides dans votre cluster.

                                                                                                                                                  Centre de données en veille pour la reprise d'activité après sinistre

                                                                                                                                                  Pendant le déploiement, vous configurez un centre de données de veille sécurisé. En cas de panne d'un centre de données, vous pouvez manuellement échouer votre déploiement sur le centre de données en veille.

                                                                                                                                                  Avant le basculement, le centre de données A a des nœuds HDS actifs et la base de données principale PostgreSQL ou Microsoft SQL Server, tandis que le centre de données B a une copie du fichier ISO avec des configurations supplémentaires, des machines virtuelles qui sont enregistrées auprès de l'organisation et une base de données en veille. Après le basculement, le centre de données B a des nœuds HDS actifs et la base de données principale, tandis que A a des MV non enregistrées et une copie du fichier ISO, et la base de données est en mode veille.
                                                                                                                                                  Basculement manuel vers le centre de données en veille

                                                                                                                                                  Les bases de données des centres de données actifs et de secours sont synchronisées les unes avec les autres, ce qui réduira le temps nécessaire pour effectuer le basculement. Le fichier ISO du centre de données en veille est mis à jour avec des configurations supplémentaires qui garantissent que les nœuds sont enregistrés dans l'organisation, mais ne gèrent pas le trafic. Par conséquent, les nœuds du centre de données en veille restent toujours à jour avec la dernière version du logiciel HDS.

                                                                                                                                                  Les nœuds de sécurité des données hybrides actifs doivent toujours être dans le même centre de données que le serveur de base de données actif.

                                                                                                                                                  Configurer le centre de données en veille pour la reprise d'activité après sinistre

                                                                                                                                                  Suivez les étapes ci-dessous pour configurer le fichier ISO du centre de données en veille :

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS.

                                                                                                                                                  Le fichier ISO doit être une copie du fichier ISO d'origine du centre de données principal sur lequel les mises à jour de configuration suivantes doivent être effectuées.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés , ajoutez la configuration ci-dessous pour placer le nœud en mode passif. Dans ce mode, le nœud sera enregistré auprès de l’entreprise et connecté au Cloud, mais ne traitera aucun trafic.

                                                                                                                                                   Mode passif : « vrai » 

                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le panneau de navigation gauche du client VMware vSphere, faites un clic droit sur la MV et cliquez sur Modifier les paramètres.

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données.

                                                                                                                                                  Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud dans le centre de données en veille.

                                                                                                                                                  Vérifiez les syslogs pour vérifier que les nœuds sont en mode passif. Vous devriez pouvoir afficher le message « KMS configuré en mode passif » dans les fichiers syslogs.

                                                                                                                                                  Après avoir configuré passiveMode dans le fichier ISO et l'avoir enregistré, vous pouvez créer une autre copie du fichier ISO sans la configuration passiveMode et l'enregistrer dans un emplacement sécurisé. Cette copie du fichier ISO sans mode passif configuré peut vous aider dans un processus de basculement rapide pendant la reprise d'activité après sinistre. Voir Récupération après sinistre en utilisant le centre de données en veille pour la procédure détaillée de basculement.

                                                                                                                                                  Prise en charge du proxy

                                                                                                                                                  La sécurité des données hybrides prend en charge l’inspection explicite, transparente et les proxys sans inspection. Vous pouvez lier ces proxies à votre déploiement pour que vous puissiez sécuriser et surveiller le trafic de l’entreprise vers le Cloud. Vous pouvez utiliser une interface d’administration de plateforme sur les nœuds pour gestion des certificats et vérifier le statut de connectivité générale après avoir configuré le proxy sur les nœuds.

                                                                                                                                                  Les nœuds de sécurité des données hybrides prennent en charge les options de proxy suivantes :

                                                                                                                                                  • Aucun proxy—La valeur par défaut si vous n'utilisez pas le nœud HDS Configuration Trust Store & Proxy pour intégrer un proxy. Aucune mise à jour du certificat n’est requise.

                                                                                                                                                  • Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.

                                                                                                                                                  • Proxy transparent à effet tunnel ou inspection–Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de configuration HTTP ou HTTPs n’est nécessaire sur les nœuds. Cependant, les nœuds nécessitent un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).

                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez aux nœuds HDS quel serveur proxy et schéma d'authentification utiliser. Pour configurer un proxy explicite, vous devez saisir les informations suivantes sur chaque nœud :

                                                                                                                                                    1. IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—En fonction de ce que votre serveur proxy prend en charge, choisissez entre les protocoles suivants :

                                                                                                                                                      • HTTP — affiche et contrôle toutes les demandes envoyées par le client.

                                                                                                                                                      • HTTPs — fournit un canal au serveur. Le client reçoit et valide le certificat du serveur.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucune—Aucune autre authentification n'est requise.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.

                                                                                                                                                        Disponible si vous sélectionnez HTTP ou HTTPs comme protocole proxy.

                                                                                                                                                        Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                      • Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

                                                                                                                                                        Disponible uniquement si vous sélectionnez HTTPs comme protocole proxy.

                                                                                                                                                        Nécessite que vous entriez le nom d’utilisateur et le mot de passe sur chaque nœud.

                                                                                                                                                  Exemple de nœuds de sécurité des données hybrides et proxy

                                                                                                                                                  Ce diagramme montre un exemple de connexion entre la sécurité des données hybrides, le réseau et un proxy. Pour les options de proxy inspection transparente et de l’inspection HTTPs explicites, la même certificat racine doit être installée sur le proxy et sur les nœuds de sécurité des données hybrides.

                                                                                                                                                  Mode de résolution DNS externe bloqué (configurations proxy explicites)

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Dans les déploiements avec des configurations proxy explicites qui n’autorisent pas la résolution DNS externe pour les clients internes, si le nœud ne peut pas interroger les serveurs DNS, il passe automatiquement en mode de résolution DNS externe bloqué. Dans ce mode, l’inscription du nœud et autres tests de connectivité du proxy peuvent se poursuivre.

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  Exigences pour la sécurité des données hybrides

                                                                                                                                                  Configuration minimale requise pour la licence Cisco Webex

                                                                                                                                                  Pour déployer la sécurité des données hybrides :

                                                                                                                                                  Exigences requises pour Docker Desktop

                                                                                                                                                  Avant d'installer vos nœuds HDS, vous devez exécuter un programme d'installation par Docker Desktop. Docker a récemment mis à jour son modèle de licence. Votre organisation peut exiger un abonnement payant pour le Bureau Docker. Pour des détails, voir le blog Docker, « Docker met à jour et agrandit nos abonnements au produit ».

                                                                                                                                                  Exigences du certificat X.509

                                                                                                                                                  La chaîne de certificats doit répondre aux exigences suivantes :

                                                                                                                                                  Tableau 1. Exigences du certificat X.509 pour le déploiement de sécurité des données hybrides

                                                                                                                                                  Signé par une autorité de certification (CA) de confiance

                                                                                                                                                  Détails

                                                                                                                                                  • Signé par une autorité de certification (AC) de confiance

                                                                                                                                                  Par défaut, nous faisons confiance aux autorités de certification dans la liste Mozilla (à l'exception de WoSign et StartCom) à https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Porte un nom de domaine Common Name (CN) qui identifie votre déploiement de sécurité des données hybrides

                                                                                                                                                  • N'est pas un certificat générique

                                                                                                                                                  Le NC n'a pas besoin d'être joignable ou un hôte actif. Nous vous recommandons d'utiliser un nom qui reflète votre organisation, par exemple hds.company.com.

                                                                                                                                                  Le NC ne doit pas contenir un * (caractère générique).

                                                                                                                                                  Le NC est utilisé pour vérifier les nœuds de sécurité des données hybrides pour les clients de l’application Webex. Tous les nœuds de sécurité des données hybrides de votre cluster utilisent le même certificat. Votre KMS s'identifie en utilisant le domaine NC et non un domaine défini dans les champs SAN x.509v3.

                                                                                                                                                  Une fois que vous avez enregistré un nœud avec ce certificat, nous ne prenons pas en charge la modification du nom de domaine NC. Choisissez un domaine qui peut s'appliquer aux déploiements d'essai et de production.

                                                                                                                                                  • Sans signature SHA1

                                                                                                                                                  Le logiciel KMS ne prend pas en charge les signatures SHA1 pour la validation des connexions aux KMS d'autres organisations.

                                                                                                                                                  • Formaté comme fichier PKCS #12 protégé par un mot de passe

                                                                                                                                                  • Utilisez le nom convivial de kms-private-key pour marquer le certificat, la clé privée et tous les certificats intermédiaires à télécharger.

                                                                                                                                                  Vous pouvez utiliser un convertisseur tel que OpenSSL pour modifier le format de votre certificat.

                                                                                                                                                  Vous devez saisir le mot de passe lorsque vous exécutez l'outil de configuration HDS.

                                                                                                                                                  Le logiciel KMS n'applique pas les contraintes d'utilisation des clés ou d'utilisation des clés étendues. Certaines autorités de certification exigent que des contraintes d'utilisation de clé étendues soient appliquées à chaque certificat, telles que l'authentification du serveur. Il est acceptable d'utiliser l'authentification du serveur ou d'autres paramètres.

                                                                                                                                                  Configuration minimale requise pour l’organisateur virtuel

                                                                                                                                                  Les hôtes virtuels que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster répondent aux exigences suivantes :

                                                                                                                                                  • Au moins deux hôtes distincts (3 recommandés) colocalisés dans le même centre de données sécurisé

                                                                                                                                                  • Installation et exécution de VMware ESXi 6.5 (ou version ultérieure).

                                                                                                                                                    Vous devez effectuer une mise à niveau si vous avez une version antérieure d'ESXi.

                                                                                                                                                  • Minimum 4 vCPU, 8 Go de mémoire principale, 30 Go d'espace disque dur local par serveur

                                                                                                                                                  Configuration minimale requise pour le serveur de base de données

                                                                                                                                                  Créer une nouvelle base de données pour le stockage des clés. N'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.

                                                                                                                                                  Il existe deux options pour le serveur de base de données. Les exigences pour chacun d'eux sont les suivantes :

                                                                                                                                                  Tableau 2. Exigences relatives au serveur de base de données par type de base de données

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Serveur Microsoft SQL

                                                                                                                                                  • PostgreSQL 14, 15, ou 16, installé et en cours d'exécution.

                                                                                                                                                  • SQL Server 2016, 2017 ou 2019 (Enterprise ou Standard) installé.

                                                                                                                                                    SQL Server 2016 nécessite le Service Pack 2 et la Mise à jour cumulative 2 ou ultérieure.

                                                                                                                                                  Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Minimum 8 vCPUs, mémoire principale de 16 Go, espace disque suffisant et contrôle pour s'assurer qu'il n'y a aucun dépassement (2 To recommandés si vous voulez exécuter la base de données pendant longtemps sans avoir besoin d'augmenter le stockage)

                                                                                                                                                  Le logiciel HDS installe actuellement les versions de pilotes suivantes pour la communication avec le serveur de base de données :

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Serveur Microsoft SQL

                                                                                                                                                  Pilote Postgres JDBC 42.2.5

                                                                                                                                                  Pilote SQL Server JDBC 4.6

                                                                                                                                                  Cette version du pilote prend en charge SQL Server Always On ( Toujours sur les instances de cluster de basculement et Toujours sur les groupes de disponibilité).

                                                                                                                                                  Exigences supplémentaires pour l'authentification Windows par rapport à Microsoft SQL Server

                                                                                                                                                  Si vous souhaitez que les nœuds HDS utilisent l'authentification Windows pour accéder à votre base de données keystore sur Microsoft SQL Server, vous devez disposer de la configuration suivante dans votre environnement :

                                                                                                                                                  • Les nœuds HDS, l'infrastructure Active Directory et MS SQL Server doivent tous être synchronisés avec NTP.

                                                                                                                                                  • Le compte Windows que vous fournissez aux nœuds HDS doit avoir un accès en lecture/écriture à la base de données.

                                                                                                                                                  • Les serveurs DNS que vous fournissez aux nœuds HDS doivent être en mesure de résoudre votre centre de distribution de clés (KDC).

                                                                                                                                                  • Vous pouvez enregistrer l'instance de base de données HDS sur votre serveur Microsoft SQL en tant que nom principal de service (SPN) sur votre répertoire actif. Voir Enregistrer un nom principal de service pour les connexions Kerberos.

                                                                                                                                                    L’outil de configuration HDS, le lanceur HDS et le KMS local doivent tous utiliser l’authentification Windows pour accéder à la base de données du magasin de mots de passe. Ils utilisent les détails de votre configuration ISO pour construire le SPN lors de la demande d'accès avec l'authentification Kerberos.

                                                                                                                                                  Exigences en matière de connectivité externe

                                                                                                                                                  Configurez votre pare-feu pour autoriser la connectivité suivante pour les applications HDS :

                                                                                                                                                  Application

                                                                                                                                                  Protocole

                                                                                                                                                  Port

                                                                                                                                                  Direction de l’application

                                                                                                                                                  Destination

                                                                                                                                                  Nœuds de sécurité des données hybrides

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Sortie HTTPS et WSS

                                                                                                                                                  • Serveurs Webex :

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Tous les hôtes Common Identity

                                                                                                                                                  • Autres URL qui sont listées pour la sécurité des données hybrides dans le tableau URL supplémentaires pour les services hybrides Webex des Exigences réseau pour les services Webex

                                                                                                                                                  Outil d’installation HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  HTTPS sortante

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Tous les hôtes Common Identity

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Les nœuds de sécurité des données hybrides fonctionnent avec la traduction d’accès au réseau (NAT) ou derrière un pare-feu, tant que le NAT ou le pare-feu autorise les connexions sortantes requises vers les destinations du domaine dans le tableau précédent. Pour les connexions entrantes vers les nœuds de sécurité des données hybrides, aucun port ne doit être visible depuis Internet. Dans votre centre de données, les clients doivent accéder aux nœuds de sécurité des données hybrides sur les ports TCP 443 et 22, pour des raisons administratives.

                                                                                                                                                  Les URL des hôtes de l'identité commune (IC) sont spécifiques à la région. Voici les organisateurs actuels de CI :

                                                                                                                                                  Région

                                                                                                                                                  URL de l'identité commune de l'organisateur

                                                                                                                                                  Amériques

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Union européenne

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Configuration requise du serveur proxy

                                                                                                                                                  • Nous prenons officiellement en charge les solutions proxy suivantes qui peuvent s’intégrer à vos nœuds de sécurité des données hybrides.

                                                                                                                                                  • Nous prenons en charge les combinaisons de types d’authentification suivantes pour les proxys explicites :

                                                                                                                                                    • Aucune authentification avec HTTP ou HTTPs

                                                                                                                                                    • Authentification de base avec HTTP ou HTTPs

                                                                                                                                                    • Authentification Digest avec HTTPs uniquement

                                                                                                                                                  • Pour un proxy d’inspection transparent ou un proxy HTTPs explicite, vous devez avoir une copie de l’certificat racine du proxy. Les instructions de déploiement contenues dans ce guide vous indiquent comment télécharger la copie dans les banques de confiance des nœuds de sécurité des données hybrides.

                                                                                                                                                  • Le réseau hébergeant les nœuds HDS doit être configuré pour forcer le trafic TCP sortant sur le port 443 à acheminer via le proxy.

                                                                                                                                                  • Les proxys qui inspectent le trafic Web peuvent interférer avec les connexions Web Socket. Si ce problème se produit, le passage du trafic (qui ne s’inspecte pas) à wbx2.com et ciscospark.com résoudra le problème.

                                                                                                                                                  Remplissez les conditions préalables pour la sécurité des données hybrides

                                                                                                                                                  Utilisez cette liste de contrôle pour vous assurer que vous êtes prêt à installer et configurer votre cluster de sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Vérifiez que votre organisation Webex est activée pour le Pro Pack pour Cisco Webex Control Hub et obtenez les informations d’identification d’un compte avec tous les droits d’administrateur de l’organisation. Contactez votre partenaire Cisco ou le gestionnaire de votre compte pour obtenir de l'aide.

                                                                                                                                                  2

                                                                                                                                                  Choisissez un nom de domaine pour votre déploiement HDS (par exemple, hds.company.com) et obtenez une chaine de certificats contenant un certificat X.509, une clé privée et tous les certificats intermédiaires. La chaine de certificats doit répondre aux exigences de la section Exigences du certificat X.509.

                                                                                                                                                  3

                                                                                                                                                  Préparez des hôtes virtuels identiques que vous configurerez en tant que nœuds de sécurité des données hybrides dans votre cluster. Vous avez besoin d’au moins deux organisateurs distincts (3 recommandés) colocalisés dans le même centre de données sécurisé, qui répondent aux exigences de la section Exigences de l’organisateur virtuel.

                                                                                                                                                  4

                                                                                                                                                  Préparez le serveur de base de données qui servira de banque de données principale pour le cluster, selon les exigences du serveur de base de données. Le serveur de base de données doit être colocalisé dans le centre de données sécurisé avec les hôtes virtuels.

                                                                                                                                                  1. Créer une base de données pour le stockage des clés. (Vous devez créer cette base de données—n'utilisez pas la base de données par défaut. Les applications HDS, lorsqu'elles sont installées, créent le schéma de la base de données.)

                                                                                                                                                  2. Collectez les détails que les nœuds utiliseront pour communiquer avec le serveur de base de données :

                                                                                                                                                    • le nom d'hôte ou l'adresse IP (hôte) et le port

                                                                                                                                                    • le nom de la base de données (nombd) pour le stockage des clés

                                                                                                                                                    • le nom d'utilisateur et le mot de passe d'un utilisateur avec tous les privilèges sur la base de données de stockage de clés

                                                                                                                                                  5

                                                                                                                                                  Pour une reprise rapide après sinistre, configurez un environnement de sauvegarde dans un autre centre de données. L'environnement de sauvegarde reflète l'environnement de production des machines virtuelles et d'un serveur de base de données de sauvegarde. Par exemple, si la production dispose de 3 machines virtuelles exécutant des nœuds HDS, l'environnement de sauvegarde doit comporter 3 machines virtuelles.

                                                                                                                                                  6

                                                                                                                                                  Configurez un hôte syslog pour collecter des journaux à partir des nœuds du cluster. Collectez son adresse réseau et son port syslog (par défaut, UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Créer une politique de sauvegarde sécurisée pour les nœuds de sécurité des données hybrides, le serveur de base de données et l'hôte syslog. Au minimum, pour éviter toute perte de données irrécupérable, vous devez sauvegarder la base de données et le fichier de configuration ISO généré pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  Dans la mesure où les nœuds de sécurité des données hybrides stockent les clés utilisées dans le chiffrement et le déchiffrement du contenu, l’incapacité à maintenir un déploiement opérationnel entraînera la PERTE IRRÉCUPÉRABLE de ce contenu.

                                                                                                                                                  Les clients de l’application Webex cachent leurs clés, de sorte qu’une panne ne soit pas immédiatement perceptible, mais deviendra évidente au fil du temps. Bien que les interruptions temporaires soient impossibles à empêcher, elles sont récupérables. Cependant, une perte complète (aucune sauvegarde disponible) de la base de données ou du fichier ISO de configuration entraînera des données client irrécupérables. Les opérateurs des nœuds de sécurité des données hybrides doivent conserver des sauvegardes fréquentes de la base de données et du fichier de configuration ISO, et être prêts à reconstruire le centre de données de sécurité des données hybrides en cas de panne catastrophique.

                                                                                                                                                  8

                                                                                                                                                  Vérifiez que la configuration de votre pare-feu permet la connectivité pour vos nœuds de sécurité des données hybrides, comme indiqué dans Exigences en matière de connectivité externe.

                                                                                                                                                  9

                                                                                                                                                  Installez Docker ( https://www.docker.com) sur toute machine locale exécutant un système d'exploitation pris en charge (Microsoft Windows 10 Professional ou Enterprise 64 bits, ou Mac OSX Yosemite 10.10.3 ou version plus récente) avec un navigateur Web qui peut y accéder à l'adresse http://127.0.0.1:8080.

                                                                                                                                                  Vous utilisez l’instance Docker pour télécharger et exécuter l’outil de configuration HDS, qui construit les informations de configuration locales pour tous les nœuds de sécurité des données hybrides. Votre entreprise peut avoir besoin d’une licence Docker Desktop. Voir Exigences requises pour le bureau Docker pour plus d’informations.

                                                                                                                                                  Pour installer et exécuter l’outil d’installation HDS, la machine locale doit avoir la connectivité décrite dans Exigences de connectivité externe.

                                                                                                                                                  10

                                                                                                                                                  Si vous intégrez un proxy avec la sécurité des données hybrides, assurez-vous qu’il répond aux exigences requises pour le serveur proxy.

                                                                                                                                                  11

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, créez un groupe dans le répertoire actif, appelé HdsTrialGroup et ajoutez des utilisateurs pilotes. Le groupe d'essai peut contenir jusqu'à 250 utilisateurs. L'objet HdsTrialGroup doit être synchronisé avec le Cloud avant de pouvoir démarrer un test pour votre organisation. Pour synchroniser un objet de groupe, sélectionnez-le dans le menu Configuration > Sélection d'objet du Directory Connector. (Pour des instructions détaillées, voir le Guide de déploiement de Cisco Directory Connector.)

                                                                                                                                                  Les clés d'un espace donné sont définies par le créateur de l'espace. Lorsque vous sélectionnez des utilisateurs pilotes, gardez à l'esprit que si vous décidez de désactiver définitivement le déploiement de sécurité des données hybrides, tous les utilisateurs perdent l'accès au contenu des espaces qui ont été créés par les utilisateurs pilotes. La perte devient évidente dès que les applications des utilisateurs actualisent leurs copies mises en cache du contenu.

                                                                                                                                                  Installer un cluster de sécurité des données hybrides

                                                                                                                                                  Flux des tâches de déploiement de sécurité des données hybrides

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Préparer votre environnement

                                                                                                                                                  1

                                                                                                                                                  Effectuer la configuration initiale et télécharger les fichiers d’installation

                                                                                                                                                  Téléchargez le fichier OVA sur votre machine locale pour une utilisation ultérieure.

                                                                                                                                                  2

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Utilisez l’outil d’installation HDS pour créer un fichier de configuration ISO pour les nœuds de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Installer l'OVA de l'hôte HDS

                                                                                                                                                  Créez une machine virtuelle à partir du fichier OVA et effectuez la configuration initiale, comme les paramètres réseau.

                                                                                                                                                  L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes.

                                                                                                                                                  4

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Connectez-vous à la console MV et définissez les informations d'identification de connexion. Configurez les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  5

                                                                                                                                                  Téléchargez et montez l'ISO de configuration HDS

                                                                                                                                                  Configurez la machine virtuelle à partir du fichier de configuration ISO que vous avez créé avec l'outil d'installation HDS.

                                                                                                                                                  6

                                                                                                                                                  Configurer le nœud HDS pour l’intégration du proxy

                                                                                                                                                  Si l'environnement réseau nécessite une configuration de proxy, spécifiez le type de proxy que vous utiliserez pour le nœud et ajoutez le certificat de proxy au magasin de confiance si nécessaire.

                                                                                                                                                  7

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Enregistrez la MV avec le Cloud Cisco Webex en tant que nœud de sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Créer et enregistrer plus de nœuds

                                                                                                                                                  Terminez la configuration du cluster.

                                                                                                                                                  9

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Jusqu'à ce que vous commenciez une période d'essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Télécharger les fichiers d'installation

                                                                                                                                                  Dans cette tâche, vous téléchargez un fichier OVA sur votre machine (et non sur les serveurs que vous configurez en tant que nœuds de sécurité des données hybrides). Vous utilisez ce fichier plus tard dans le processus d'installation.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com, puis cliquez sur Services.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides, puis cliquez sur Configurer.

                                                                                                                                                  Si la carte est désactivée ou si vous ne la voyez pas, contactez l’équipe de votre compte ou votre organisation partenaire. Donnez-leur votre numéro de compte et demandez-leur d’activer la sécurité des données hybrides pour votre organisation. Pour trouver le numéro de compte, cliquez sur l'engrenage en haut à droite, à côté du nom de votre organisation.

                                                                                                                                                  Vous pouvez également télécharger le fichier OVA à tout moment à partir de la section Aide sur la page Paramètres . Sur la carte de sécurité des données hybrides, cliquez sur Modifier les paramètres pour ouvrir la page. Puis, cliquez sur Télécharger le logiciel de sécurité des données hybrides dans la section Aide .

                                                                                                                                                  Les anciennes versions du pack logiciel (OVA) ne seront pas compatibles avec les dernières mises à jour de sécurité des données hybrides. Cela peut entraîner des problèmes lors de la mise à niveau de l'application. Assurez-vous de télécharger la dernière version du fichier OVA.

                                                                                                                                                  3

                                                                                                                                                  Sélectionnez Non pour indiquer que vous n'avez pas encore configuré le nœud, puis cliquez sur Suivant.

                                                                                                                                                  Le fichier OVA commence automatiquement à se télécharger. Enregistrez le fichier à un emplacement sur votre ordinateur.
                                                                                                                                                  4

                                                                                                                                                  Sinon, cliquez sur Ouvrir le guide de déploiement pour vérifier si une version plus récente de ce guide est disponible.

                                                                                                                                                  Créer une configuration ISO pour les hôtes HDS

                                                                                                                                                  Le processus de configuration de sécurité des données hybrides crée un fichier ISO. Vous utilisez ensuite la norme ISO pour configurer votre hôte de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.

                                                                                                                                                    Si l'outil de configuration HDS s'exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d'authentification) via les variables d'environnement Docker lorsque vous ouvrez le conteneur Docker à l'étape 5. Ce tableau fournit quelques variables possibles pour l’environnement :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port

                                                                                                                                                  • Le fichier de configuration ISO que vous générez contient la clé principale chiffrant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de la dernière copie de ce fichier chaque fois que vous apportez des modifications de configuration, comme celles-ci :

                                                                                                                                                    • Informations d'identification de la base de données

                                                                                                                                                    • Mises à jour des certificats

                                                                                                                                                    • Modifications de la politique d’autorisation

                                                                                                                                                  • Si vous prévoyez de chiffrer les connexions de base de données, configurez votre déploiement PostgreSQL ou SQL Server pour TLS.

                                                                                                                                                  1

                                                                                                                                                  À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

                                                                                                                                                  Dans les environnements réguliers :

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2

                                                                                                                                                  Pour vous connectez au registre d’image Docker, saisissez ce qui suit :

                                                                                                                                                  connexion docker -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  À l’invite du mot de passe, saisissez ce hachage :

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                  Dans les environnements réguliers :

                                                                                                                                                  docker pull ciscocitg/hds-setup : stable

                                                                                                                                                  Dans les environnements FedRAMP :

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                  • Dans les environnements réguliers sans proxy :

                                                                                                                                                    exécution docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements réguliers avec un proxy HTTP :

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements réguliers avec un proxy HTTPS :

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                    exécution docker -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

                                                                                                                                                  6

                                                                                                                                                  L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local.

                                                                                                                                                  Utilisez un navigateur Web pour aller à l’organisateur local, http://127.0.0.1:8080, et saisissez le nom d’utilisateur de l’administrateur du client pour le Control Hub à l’invite.

                                                                                                                                                  L'outil utilise cette première entrée du nom d'utilisateur pour définir l'environnement approprié pour ce compte. L'outil affiche ensuite l'invite de connexion standard.

                                                                                                                                                  7

                                                                                                                                                  Lorsque vous y êtes invité, saisissez vos identifiants de connexion d’administrateur du client Control Hub, puis cliquez sur Se connecter pour autoriser l’accès aux services requis pour la sécurité des données hybrides.

                                                                                                                                                  8

                                                                                                                                                  Dans la page de présentation de l'outil de configuration, cliquez sur Commencer.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Importation ISO , vous avez les options suivantes :

                                                                                                                                                  • Non–Si vous créez votre premier nœud HDS, vous n'avez pas de fichier ISO à télécharger.
                                                                                                                                                  • Oui—Si vous avez déjà créé des nœuds HDS, alors vous sélectionnez votre fichier ISO dans la navigation et téléchargez-le.
                                                                                                                                                  10

                                                                                                                                                  Vérifiez que votre certificat X.509 répond aux exigences requises dans Exigences du certificat X.509.

                                                                                                                                                  • Si vous n'avez jamais téléchargé un certificat auparavant, téléchargez le certificat X.509, saisissez le mot de passe et cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat est OK, cliquez sur Continuer.
                                                                                                                                                  • Si votre certificat a expiré ou si vous souhaitez le remplacer, sélectionnez Non pour Continuer à utiliser la chaine de certificats HDS et la clé privée de l'ISO précédent ?. Téléchargez un nouveau certificat X.509, saisissez le mot de passe, puis cliquez sur Continuer.
                                                                                                                                                  11

                                                                                                                                                  Saisissez l'adresse de la base de données et le compte pour HDS pour accéder à votre banque de données de clés :

                                                                                                                                                  1. Sélectionnez votre Type de base de données (PostgreSQL ou Microsoft SQL Server).

                                                                                                                                                    Si vous choisissez Microsoft SQL Server, vous obtenez un champ Type d'authentification.

                                                                                                                                                  2. (Microsoft SQL Server uniquement) Sélectionnez votre Type d'authentification :

                                                                                                                                                    • Authentification de base : Vous avez besoin d'un nom de compte SQL Server local dans le champ Nom d'utilisateur .

                                                                                                                                                    • Authentification Windows : Vous avez besoin d'un compte Windows au format username@DOMAIN dans le champ Username .

                                                                                                                                                  3. Saisissez l’adresse du serveur de base de données au format : ou :.

                                                                                                                                                    Exemple :
                                                                                                                                                    dbhost.example.org:1433 ou 198.51.100.17:1433

                                                                                                                                                    Vous pouvez utiliser une adresse IP pour l’authentification de base, si les nœuds ne peuvent pas utiliser DNS pour résoudre le nom d’hôte.

                                                                                                                                                    Si vous utilisez l’authentification Windows, vous devez saisir un nom de domaine entièrement qualifié au format dbhost.example.org:1433

                                                                                                                                                  4. Saisissez le Nom de la base de données.

                                                                                                                                                  5. Saisissez le Nom d'utilisateur et le Mot de passe d'un utilisateur ayant tous les privilèges sur la base de données de stockage des clés.

                                                                                                                                                  12

                                                                                                                                                  Sélectionnez un Mode de connexion à la base de données TLS :

                                                                                                                                                  Mode

                                                                                                                                                  Description

                                                                                                                                                  Préférez TLS (option par défaut)

                                                                                                                                                  Les nodes HDS ne nécessitent pas que TLS se connecte au serveur de base de données. Si vous activez TLS sur le serveur de base de données, les nœuds tentent une connexion chiffrée.

                                                                                                                                                  Demander TLS

                                                                                                                                                  Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

                                                                                                                                                  Demander TLS et vérifier le signataire du certificat

                                                                                                                                                  Ce mode n'est pas applicable aux bases de données SQL Server.

                                                                                                                                                  • Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S’ils ne correspondent pas, le nœud perd la connexion.

                                                                                                                                                  Utilisez le contrôle de la certificat racine base de données en dessous du bas pour charger le certificat racine pour cette option.

                                                                                                                                                  Demander TLS et vérifier le signataire du certificat et le nom d’hôte

                                                                                                                                                  • Les nodes HDS se connectent uniquement si le serveur de la base de données peut négocier TLS.

                                                                                                                                                  • Après avoir établi une connexion TLS, le nœud compare le signataire du certificat du serveur de base de données à l'autorité de certification dans le Certificat racine de base de données. S’ils ne correspondent pas, le nœud perd la connexion.

                                                                                                                                                  • Les nœuds vérifient également que le nom d'hôte dans le certificat du serveur correspond au nom d'hôte dans le champ Hôte et port de la base de données . Les noms doivent correspondre exactement, ou le nœud perd la connexion.

                                                                                                                                                  Utilisez le contrôle de la certificat racine base de données en dessous du bas pour charger le certificat racine pour cette option.

                                                                                                                                                  Lorsque vous téléchargez le certificat racine (si nécessaire) et cliquez sur Continuer, l’outil d’installation HDS teste la connexion TLS au serveur de base de données. L’outil vérifie également le signataire du certificat et le nom d’hôte, le cas échéant. Si un test échoue, l’outil affiche un message d’erreur décrivant le problème. Vous pouvez choisir si vous souhaitez ignorer l’erreur et poursuivre l’installation. (En raison de différences de connectivité, les nœuds HDS peuvent établir la connexion TLS même si la machine de l’outil d’installation HDS ne peut pas la tester avec succès).

                                                                                                                                                  13

                                                                                                                                                  Sur la page Journaux système, configurez votre serveur Syslogd :

                                                                                                                                                  1. Saisissez l'URL du serveur syslog.

                                                                                                                                                    Si le serveur n’est pas résolvable par DNS à partir des nœuds de votre cluster HDS, utilisez une adresse IP dans l’URL.

                                                                                                                                                    Exemple :
                                                                                                                                                    udp://10.92.43.23:514 indique la connexion à l'hôte Syslogd 10.92.43.23 sur le port UDP 514.
                                                                                                                                                  2. Si vous configurez votre serveur pour qu'il utilise le chiffrement TLS, cochez Votre serveur syslog est-il configuré pour le chiffrement SSL ?

                                                                                                                                                    Si vous cochez cette case, assurez-vous de saisir une URL TCP telle que tcp://10.92.43.23:514.

                                                                                                                                                  3. Dans la liste déroulante Choisir la terminaison d'enregistrement syslog , choisissez le paramètre approprié pour votre fichier ISO : Choose ou New line est utilisé pour Graylog et Rsyslog TCP

                                                                                                                                                    • Octet nul -- \x00

                                                                                                                                                    • Nouvelle ligne -- \n—Sélectionnez ce choix pour Graylog et Rsyslog TCP.

                                                                                                                                                  4. Cliquez sur Continuer.

                                                                                                                                                  14

                                                                                                                                                  (Facultatif) Vous pouvez modifier la valeur par défaut de certains paramètres de connexion de la base de données dans Paramètres avancés. Généralement, ce paramètre est le seul que vous pourriez vouloir modifier :

                                                                                                                                                  app_datasource_connection_pool_maxTaille : 10
                                                                                                                                                  15

                                                                                                                                                  Cliquez sur Continuer sur l'écran Réinitialiser le mot de passe des comptes de service .

                                                                                                                                                  Les mots de passe des comptes de service ont une durée de neuf mois. Utilisez cet écran lorsque vos mots de passe arrivent à expiration ou que vous souhaitez les réinitialiser pour invalider les fichiers ISO précédents.

                                                                                                                                                  16

                                                                                                                                                  Cliquez sur Télécharger le fichier ISO. Enregistrez le fichier dans un emplacement facile à trouver.

                                                                                                                                                  17

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local.

                                                                                                                                                  Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  18

                                                                                                                                                  Pour fermer l'outil d'installation, tapez sur CTRL+C.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Sauvegardez le fichier ISO de configuration. Vous en avez besoin pour créer plus de nœuds pour la récupération, ou pour effectuer des modifications de configuration. Si vous perdez toutes les copies du fichier ISO, vous avez également perdu la clé principale. Récupérer les clés de votre base de données PostgreSQL ou Microsoft SQL Server n'est pas possible.

                                                                                                                                                  Nous n’avons jamais de copie de cette clé et nous ne pouvons pas vous aider si vous la perdez.

                                                                                                                                                  Installer l'OVA de l'hôte HDS

                                                                                                                                                  Utilisez cette procédure pour créer une machine virtuelle à partir du fichier OVA.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi.

                                                                                                                                                  2

                                                                                                                                                  Sélectionnez FichierDéployer le modèle OVF…

                                                                                                                                                  3

                                                                                                                                                  Dans l'assistant, spécifiez l'emplacement du fichier OVA que vous avez téléchargé précédemment, puis cliquez sur Suivant.

                                                                                                                                                  4

                                                                                                                                                  Sur la page Sélectionner un nom et un dossier , saisissez un Nom de machine virtuelle pour le nœud (par exemple, « HDS_Node_1 »), choisissez un emplacement où le déploiement du nœud de la machine virtuelle peut résider, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Sélectionner une ressource informatique , choisissez la ressource informatique de destination, puis cliquez sur Suivant.

                                                                                                                                                  Une vérification de validation s'effectue. Une fois le modèle terminé, les détails du modèle s’affichent.

                                                                                                                                                  6

                                                                                                                                                  Vérifiez les détails du modèle, puis cliquez sur Suivant.

                                                                                                                                                  7

                                                                                                                                                  Si vous êtes invité à choisir la configuration des ressources sur la page Configuration , cliquez sur 4 CPU puis cliquez sur Suivant.

                                                                                                                                                  8

                                                                                                                                                  Sur la page Sélectionner le stockage , cliquez sur Suivant pour accepter le format de disque par défaut et la politique de stockage MV.

                                                                                                                                                  9

                                                                                                                                                  Sur la page Sélectionner les réseaux , choisissez l'option réseau dans la liste des entrées pour fournir la connectivité souhaitée à la MV.

                                                                                                                                                  10

                                                                                                                                                  Sur la page Personnaliser le modèle , configurez les paramètres réseau suivants :

                                                                                                                                                  • Nom d'hôte—Saisissez le FQDN (nom d'hôte et domaine) ou un nom d'hôte à un seul mot pour le nœud.
                                                                                                                                                    • Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                    • Pour garantir une inscription réussie dans le Cloud, utilisez uniquement des caractères en minuscules dans le nom de domaine complet ou le nom d'hôte que vous avez configuré pour le nœud. Les majuscules ne sont actuellement pas prises en charge.

                                                                                                                                                    • Le FDQN de la longueur ne doit pas dépasser 64 caractères.

                                                                                                                                                  • Adresse IP—Saisissez l'adresse IP de l'interface interne du nœud.

                                                                                                                                                    Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  • Masque—Saisissez l'adresse du masque de sous-réseau en notation point-décimale. Par exemple, 255.255.255.0.
                                                                                                                                                  • Passerelle—Saisissez l'adresse IP de la passerelle. Une passerelle est un nœud de réseau qui sert de point d'accès à un autre réseau.
                                                                                                                                                  • Serveurs DNS—Saisissez une liste de serveurs DNS séparés par des virgules, qui gèrent la traduction des noms de domaine en adresses IP numériques. (Jusqu'à 4 entrées DNS sont autorisées.)
                                                                                                                                                  • Serveurs NTP—Saisissez le serveur NTP de votre organisation ou un autre serveur NTP externe qui peut être utilisé dans votre organisation. Les serveurs NTP par défaut peuvent ne pas fonctionner pour toutes les entreprises. Vous pouvez également utiliser une liste séparée par des virgules pour saisir plusieurs serveurs NTP.
                                                                                                                                                  • Déployez tous les nœuds sur le même sous-réseau ou VLAN, afin que tous les nœuds d’un cluster soient accessibles à partir des clients de votre réseau à des fins administratives.

                                                                                                                                                  Si vous le préférez, vous pouvez ignorer la configuration des paramètres réseau et suivre les étapes contenues dans Configurer la MV de sécurité des données hybrides pour configurer les paramètres à partir de la console du nœud.

                                                                                                                                                  L'option permettant de configurer les paramètres réseau pendant le déploiement OVA a été testée avec ESXi 6.5. L’option n’est peut-être pas disponible dans les versions précédentes.

                                                                                                                                                  11

                                                                                                                                                  Faites un clic droit sur la machine virtuelle du nœud, puis choisissez Alimentation > Allumer.

                                                                                                                                                  Le logiciel de sécurité des données hybrides est installé en tant qu'invité sur l'hôte de la MV. Vous êtes maintenant prêt à vous connecter à la console et à configurer le nœud.

                                                                                                                                                  Astuces de dépannage

                                                                                                                                                  Vous pouvez rencontrer un délai de quelques minutes avant que les conteneurs du nœud affluent. Un message du pare-feu pont apparaît sur la console lors du premier démarrage, au cours de laquelle vous ne pouvez pas vous connecter.

                                                                                                                                                  Configurer la machine virtuelle de sécurité des données hybrides

                                                                                                                                                  Utilisez cette procédure pour vous connecter à la console MV du nœud de sécurité des données hybrides pour la première fois et définissez les informations d'identification de connexion. Vous pouvez également utiliser la console pour configurer les paramètres réseau du nœud si vous ne les avez pas configurés au moment du déploiement OVA.

                                                                                                                                                  1

                                                                                                                                                  Dans le client VMware vSphere, sélectionnez la MV de votre nœud de sécurité des données hybrides et sélectionnez l'onglet Console.

                                                                                                                                                  La MV démarre et une invite de connexion apparaît. Si l'invite de connexion ne s'affiche pas, appuyez sur Entrée.
                                                                                                                                                  2

                                                                                                                                                  Utilisez le nom d'utilisateur et le mot de passe par défaut suivants pour vous connecter et modifier les informations d'identification :

                                                                                                                                                  1. Connexion : Admin

                                                                                                                                                  2. Mot de passe : Cisco

                                                                                                                                                  Puisque vous vous connectez à votre machine virtuelle pour la première fois, vous devez changer le mot de passe de l'administrateur.

                                                                                                                                                  3

                                                                                                                                                  Si vous avez déjà configuré les paramètres réseau dans Installer l’OVA de l’organisateur HDS, ignorez le reste de cette procédure. Sinon, dans le menu principal, sélectionnez l'option Modifier la configuration .

                                                                                                                                                  4

                                                                                                                                                  Configurez une configuration statique avec l'adresse IP, le masque, la passerelle et les informations DNS. Votre nœud doit avoir une adresse IP interne et un nom DNS. DHCP n'est pas pris en charge.

                                                                                                                                                  5

                                                                                                                                                  (Facultatif) Changez le nom d'hôte, le domaine ou le(s) serveur(s) NTP, si nécessaire pour correspondre à votre politique réseau.

                                                                                                                                                  Vous n'avez pas besoin de configurer le domaine pour qu'il corresponde au domaine que vous avez utilisé pour obtenir le certificat X.509.

                                                                                                                                                  6

                                                                                                                                                  Enregistrez la configuration réseau et redémarrez la machine virtuelle afin que les modifications prennent effet.

                                                                                                                                                  Téléchargez et montez l'ISO de configuration HDS

                                                                                                                                                  Utilisez cette procédure pour configurer la machine virtuelle à partir du fichier ISO que vous avez créé avec l'outil de configuration HDS.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Étant donné que le fichier ISO contient la clé principale, il doit être exposé uniquement sur la base du « besoin de savoir », pour l'accès des MV de sécurité des données hybrides et de tous les administrateurs qui pourraient avoir besoin d'apporter des modifications. Assurez-vous que seuls ces administrateurs peuvent accéder au magasin de données.

                                                                                                                                                  1

                                                                                                                                                  Téléchargez le fichier ISO depuis votre ordinateur:

                                                                                                                                                  1. Dans le panneau de navigation gauche du client VMware vSphere, cliquez sur le serveur ESXi.

                                                                                                                                                  2. Dans la liste Matériel de l'onglet Configuration, cliquez sur Stockage.

                                                                                                                                                  3. Dans la liste des banques de données, cliquez avec le bouton droit sur le magasin de données pour vos ordinateurs virtuels et cliquez sur Parcourir le magasin de données.

                                                                                                                                                  4. Cliquez sur l'icône Charger les fichiers, puis sur Charger le fichier.

                                                                                                                                                  5. Allez à l'emplacement où vous avez téléchargé le fichier ISO sur votre ordinateur et cliquez sur Ouvrir.

                                                                                                                                                  6. Cliquez sur Oui pour accepter l'avertissement d'opération de chargement/téléchargement et fermez la boîte de dialogue Banque de données.

                                                                                                                                                  2

                                                                                                                                                  Monter le fichier ISO :

                                                                                                                                                  1. Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  2. Cliquez sur OK pour accepter l'avertissement relatif aux options de modification restreintes.

                                                                                                                                                  3. Cliquez sur Lecteur de CD/DVD 1, sélectionnez l'option de montage à partir d'un fichier ISO de la banque de données et allez à l'emplacement où vous avez chargé le fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connecté et Connecter à la mise sous tension.

                                                                                                                                                  5. Enregistrez vos modifications et redémarrez la machine virtuelle.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Si votre politique informatique l'exige, vous pouvez éventuellement démonter le fichier ISO une fois que tous vos nœuds ont pris en compte les modifications de configuration. Voir (Facultatif) Démonter l'ISO après la configuration HDS pour plus de détails.

                                                                                                                                                  Configurer le nœud HDS pour l’intégration du proxy

                                                                                                                                                  Si l’environnement réseau nécessite un proxy, suivez cette procédure pour spécifier le type de proxy que vous souhaitez intégrer à la sécurité des données hybrides. Si vous choisissez un proxy d’inspection transparent ou un proxy HTTPs explicite, vous pouvez utiliser l’interface du nœud pour charger et installer la certificat racine. Vous pouvez également vérifier la connexion du proxy à partir de l’interface et résoudre les problèmes potentiels.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  1

                                                                                                                                                  Entrez l’URL de configuration du nœud HDS https://[HDS du nœud IP ou FDQN]/Setup dans un navigateur Web, saisissez les identifiants d’administrateur que vous avez configurés pour le nœud, puis cliquez sur connexion.

                                                                                                                                                  2

                                                                                                                                                  Allez à Trust Store & proxy, puis choisissez une option :

                                                                                                                                                  • Aucun proxy—L'option par défaut avant d'intégrer un proxy. Aucune mise à jour du certificat n’est requise.
                                                                                                                                                  • Proxy sans inspection transparent—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique et ne doivent pas nécessiter de modifications pour fonctionner avec un proxy sans inspection. Aucune mise à jour du certificat n’est requise.
                                                                                                                                                  • Proxy d'inspection transparente—Les nœuds ne sont pas configurés pour utiliser une adresse de serveur proxy spécifique. Aucune modification de la configuration HTTPs n’est nécessaire sur le déploiement de sécurité des données hybrides, cependant, les nœuds HDS ont besoin d’un certificat racine pour qu’ils fassent confiance au proxy. L’inspection des proxys est généralement utilisée par elle pour appliquer les politiques sur lesquelles les sites Web peuvent être visités et quels types de contenu ne sont pas autorisés. Ce type de proxy déchiffre tout votre trafic (même HTTPs).
                                                                                                                                                  • Proxy explicite–Avec un proxy explicite, vous indiquez au client (nœuds HDS) quel serveur proxy utiliser et cette option prend en charge plusieurs types d'authentification. Après avoir choisi cette option, vous devez saisir les informations suivantes :
                                                                                                                                                    1. IP/FDQN du proxy—Adresse qui peut être utilisée pour joindre la machine proxy.

                                                                                                                                                    2. Port du proxy—Un numéro de port que le proxy utilise pour écouter le trafic proxy.

                                                                                                                                                    3. Protocole proxy—Choisissez http (visualise et contrôle toutes les demandes reçues du client) ou https (fournit un canal au serveur et le client reçoit et valide le certificat du serveur). Choisissez une option en fonction de ce que votre Serveur Proxy prend en charge.

                                                                                                                                                    4. Type d'authentification—Choisissez parmi les types d'authentification suivants :

                                                                                                                                                      • Aucune—Aucune autre authentification n'est requise.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPs.

                                                                                                                                                      • Basique—Utilisé pour un agent utilisateur HTTP pour fournir un nom d'utilisateur et un mot de passe lors d'une demande. Utilise le codage Base64.

                                                                                                                                                        Disponible pour les proxys HTTP ou HTTPs.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe.

                                                                                                                                                      • Résumé—Utilisé pour confirmer le compte avant d'envoyer des informations sensibles. Applique une fonction de hachage sur le nom d’utilisateur et le mot de passe avant l’envoi sur le réseau.

                                                                                                                                                        Disponible uniquement pour les proxies HTTPs.

                                                                                                                                                        Si vous choisissez cette option, vous devez également saisir le nom d’utilisateur et le mot de passe.

                                                                                                                                                  Suivez les étapes suivantes pour un proxy d’inspection transparent, un proxy HTTP explicite avec l’authentification de base, ou un proxy HTTPs explicite.

                                                                                                                                                  3

                                                                                                                                                  Cliquez sur Télécharger un certificat racine ou un certificat d’entité finale, puis allez à un choix de l’certificat racine pour le proxy.

                                                                                                                                                  Le certificat est chargé mais n’a pas encore été installé car vous devez redémarrer le nœud pour installer le certificat. Cliquez sur la flèche du chevron en regard du nom de l’émetteur du certificat pour obtenir plus de détails ou cliquez sur supprimer si vous avez fait une erreur et souhaitez recharger le fichier.

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion proxy pour tester la connectivité réseau entre le nœud et le proxy.

                                                                                                                                                  Si le test de connexion échoue, vous voyez un message d’erreur qui montre la raison et comment vous pouvez corriger le problème.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS. Cette situation est attendue dans de nombreuses configurations de proxy explicites. Vous pouvez poursuivre la configuration et le nœud fonctionnera en mode de résolution DNS externe bloqué. Si vous pensez qu'il s'agit d'une erreur, effectuez ces étapes et consultez Désactiver le mode de résolution DNS externe bloqué.

                                                                                                                                                  5

                                                                                                                                                  Lorsque le test de connexion réussit, pour le proxy explicite configuré sur HTTPS uniquement, désactivez l’option Activer pour acheminer toutes les demandes HTTPS du port 443/444 à partir de ce nœud via le proxy explicite. Ce paramètre nécessite que 15 secondes prennent effet.

                                                                                                                                                  6

                                                                                                                                                  Cliquez sur installer tous les certificats dans la Banque de confiance (s’affiche pour un proxy explicite HTTPS ou un proxy d’inspection transparent) ou Redémarrez (s’affiche pour un proxy http explicite), lisez l’invite, puis cliquez sur installer si vous êtes prêt (e).

                                                                                                                                                  Le nœud redémarre dans quelques minutes.

                                                                                                                                                  7

                                                                                                                                                  Après le redémarrage du nœud, reconnectez-vous si nécessaire, puis ouvrez la page de présentation pour vérifier les vérifications de connectivité pour vérifier qu’elles sont toutes dans le statut vert.

                                                                                                                                                  La vérification de la connexion proxy teste uniquement un sous-domaine de webex.com. S’il y a des problèmes de connectivité, un problème commun est que certains domaines du Cloud listés dans les instructions d’installation sont bloqués sur le proxy.

                                                                                                                                                  Enregistrer le premier nœud dans le cluster

                                                                                                                                                  Cette tâche prend le nœud générique que vous avez créé dans la Configurer la MV de sécurité des données hybrides, enregistre le nœud avec le Cloud Webex et le transforme en un nœud de sécurité des données hybrides.

                                                                                                                                                  Lorsque vous enregistrez votre premier, créer un nœud du cluster auquel est affectée. Un cluster contient un ou plusieurs nœuds déployés pour assurer la redondance.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Dans le menu situé à gauche de l'écran, sélectionnez de services .

                                                                                                                                                  3

                                                                                                                                                  Dans la section Services hybrides, recherchez Sécurité des données hybrides et cliquez sur Configurer.

                                                                                                                                                  La page Enregistrer le nœud de sécurité des données s'affiche.
                                                                                                                                                  4

                                                                                                                                                  Sélectionnez Oui pour indiquer que vous avez configuré le nœud et que vous êtes prêt à l'enregistrer, puis cliquez sur Suivant.

                                                                                                                                                  5

                                                                                                                                                  Dans le premier champ, saisissez un nom pour le cluster auquel vous souhaitez affecter votre nœud de sécurité des données hybrides.

                                                                                                                                                  Nous vous recommandons lorsque le nom de cluster sur les nœuds du cluster sont limités géographiquement. Exemples : "San Francisco" ou "New York" ou "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Dans le deuxième champ, entrez l'adresse IP interne ou le nom de domaine complet (FQDN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                  Cette adresse IP ou FQDN doit correspondre à l'adresse IP ou au nom d'hôte et au domaine que vous avez utilisés dans Configurer la MV de sécurité des données hybrides.

                                                                                                                                                  Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur Webex.
                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Aller sur le nœud.

                                                                                                                                                  8

                                                                                                                                                  Cliquez sur Continuer dans la message.

                                                                                                                                                  Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation Webex pour accéder à votre nœud.
                                                                                                                                                  9

                                                                                                                                                  Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                  Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  10

                                                                                                                                                  Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Control Hub.

                                                                                                                                                  Sur la page Données de sécurité hybrides, le nouveau cluster contenant le nœud que vous avez enregistré est affiché. Le nœud télécharge automatiquement le dernier logiciel à partir du Cloud.

                                                                                                                                                  Créer et enregistrer plus de nœuds

                                                                                                                                                  Pour ajouter des nœuds supplémentaires à votre cluster, créez simplement des machines virtuelles supplémentaires et montez le même fichier ISO de configuration, puis enregistrez le nœud. Nous vous recommandons d'avoir au moins 3 nœuds.

                                                                                                                                                  Actuellement, les machines virtuelles de sauvegarde que vous avez créées dans Complétez les prérequis pour la sécurité des données hybrides sont des hôtes en veille qui ne sont utilisés qu'en cas de reprise d'activité après sinistre ; elles ne sont pas enregistrées avec le système avant cette date. Pour des détails, voir Récupération après sinistre en utilisant le centre de données de veille.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Lorsque vous commencez l'Enregistrement de nœud, vous devez le terminer dans 60 minutes ou vous devrez recommencer.

                                                                                                                                                  • Vérifiez que les bloqueurs de pop-ups dans votre navigateur sont désactivés ou que vous autorisez une exception pour admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Créez une nouvelle machine virtuelle à partir de l'OVA, en répétant les étapes contenues dans Installer l'OVA de l'hôte HDS.

                                                                                                                                                  2

                                                                                                                                                  Configurez la configuration initiale sur la nouvelle MV, répétez les étapes contenues dans Configurer la MV de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la nouvelle machine virtuelle, répétez les étapes contenues dans Charger et monter la configuration HDS ISO.

                                                                                                                                                  4

                                                                                                                                                  Si vous configurez un proxy pour votre déploiement, répétez les étapes contenues dans Configurer le nœud HDS pour l'intégration du proxy si nécessaire pour le nouveau nœud.

                                                                                                                                                  5

                                                                                                                                                  Enregistrer le nœud.

                                                                                                                                                  1. Dans https://admin.webex.com, sélectionnez Services dans le menu sur le côté gauche de l'écran.

                                                                                                                                                  2. Dans la section Services hybrides, recherchez la carte de sécurité des données hybrides et cliquez sur Ressources.

                                                                                                                                                    La page Ressources de sécurité des données hybrides s'affiche.
                                                                                                                                                  3. Cliquez sur Ajouter une ressource.

                                                                                                                                                  4. Dans le premier champ, sélectionnez le nom de votre cluster existant.

                                                                                                                                                  5. Dans le deuxième champ, entrez l'adresse IP interne ou le nom de domaine complet (FQDN) de votre nœud et cliquez sur Suivant.

                                                                                                                                                    Un message s'affiche indiquant que vous pouvez enregistrer votre nœud sur le Cloud Webex.
                                                                                                                                                  6. Cliquez sur Aller sur le nœud.

                                                                                                                                                    Après quelques instants, vous êtes redirigé vers les tests de connectivité du nœud pour les services Webex. Si tous les tests aboutissent, la page Autoriser l'accès à un nœud de sécurité des données hybride s'affiche. Là, vous confirmez que vous souhaitez accorder des autorisations à votre organisation pour accéder à votre nœud.
                                                                                                                                                  7. Cochez la case Autoriser l'accès à votre nœud de sécurité des données hybrides, puis cliquez sur Continuer.

                                                                                                                                                    Votre compte est validé et le message « Inscription terminée » indique que votre nœud est maintenant enregistré sur le Cloud Webex.
                                                                                                                                                  8. Cliquez sur le lien ou fermez l’onglet pour revenir à la page de sécurité des données hybrides du Control Hub.

                                                                                                                                                  Votre nœud est enregistré. Notez que jusqu'à ce que vous commenciez une période d'essai, vos nœuds génèrent une alarme indiquant que votre service n'est pas encore activé.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Lancer un essai et passer à la production (chapitre suivant)

                                                                                                                                                  Lancer un essai et se déplacer vers la production

                                                                                                                                                  Flux des tâches de l’essai à la production

                                                                                                                                                  Après avoir configuré un cluster de sécurité des données hybrides, vous pouvez démarrer un pilote, y ajouter des utilisateurs et commencer à l'utiliser pour tester et vérifier votre déploiement en vue du passage à la production.

                                                                                                                                                  1

                                                                                                                                                  Le cas échéant, synchronisez l'objet du groupe HdsTrialGroup .

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet de groupe HdsTrialGroup pour la synchronisation vers le Cloud avant de pouvoir démarrer un essai. Pour des instructions, voir le Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Activer l'essai

                                                                                                                                                  Commencer un essai. Jusqu'à ce que vous effectuiez cette tâche, vos nœuds génèrent une alarme indiquant que le service n'est pas encore activé.

                                                                                                                                                  3

                                                                                                                                                  Tester le déploiement de sécurité de vos données hybrides

                                                                                                                                                  Vérifiez que les demandes clés sont transmises à votre déploiement de sécurité des données hybrides.

                                                                                                                                                  4

                                                                                                                                                  Contrôler l'intégrité de la sécurité des données hybrides

                                                                                                                                                  Vérifiez le statut et configurez les notifications par courrier électronique pour les alarmes.

                                                                                                                                                  5

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre version d'évaluation

                                                                                                                                                  6

                                                                                                                                                  Terminez la phase d'essai avec l'une des actions suivantes :

                                                                                                                                                  Activer l'essai

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire pour les utilisateurs, vous devez sélectionner l'objet de groupe HdsTrialGroup pour la synchronisation avec le Cloud avant de pouvoir démarrer un test pour votre organisation. Pour des instructions, voir le Guide de déploiement de Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous à https://admin.webex.com et sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Statut du service, cliquez sur Démarrer le test.

                                                                                                                                                  L'état du service passe en mode d'évaluation.
                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Ajouter des utilisateurs et saisissez l’adresse électronique d’un ou plusieurs utilisateurs pour piloter l’utilisation de vos nœuds de sécurité des données hybrides pour les services de chiffrement et d’indexation.

                                                                                                                                                  (Si votre organisation utilise la synchronisation du répertoire, utilisez Répertoire actif pour gérer le groupe d'essai, HdsTrialGroup.)

                                                                                                                                                  Tester le déploiement de sécurité de vos données hybrides

                                                                                                                                                  Utilisez cette procédure pour tester les scénarios de chiffrement de sécurité des données hybrides.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • Configurez votre déploiement de sécurité des données hybrides.

                                                                                                                                                  • Activez la version d'évaluation et ajoutez plusieurs utilisateurs d'essai.

                                                                                                                                                  • Assurez-vous que vous avez accès au syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1

                                                                                                                                                  Les clés d'un espace donné sont définies par le créateur de l'espace. Connectez-vous à l’application Webex en tant que l’un des utilisateurs pilotes, puis créez un espace et invitez au moins un utilisateur pilote et un utilisateur non pilote.

                                                                                                                                                  Si vous désactivez le déploiement de sécurité des données hybrides, le contenu des espaces créés par les utilisateurs pilotes n’est plus accessible une fois que les copies des clés de chiffrement mises en cache par le client sont remplacées.

                                                                                                                                                  2

                                                                                                                                                  Envoyer des messages au nouvel espace.

                                                                                                                                                  3

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les demandes de clés passent sur votre déploiement de sécurité des données hybrides.

                                                                                                                                                  1. Pour vérifier qu'un utilisateur établit tout d'abord un canal sécurisé vers le KMS, filtrez sur kms.data.method=create et kms.data.type=EPHEMERAL_KEY_COLLECTION :

                                                                                                                                                    Vous devriez trouver une entrée telle que la suivante (identificateurs raccourcis pour plus de lisibilité) :
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS : DEMANDE] reçue, identifiant du périphérique : https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid : kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Pour vérifier qu'un utilisateur demande une clé existante du KMS, filtrez sur kms.data.method=retrieve et kms.data.type=KEY :

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS : DEMANDE] reçue, ID du périphérique : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Pour vérifier qu'un utilisateur demande la création d'une nouvelle clé KMS, filtrez sur kms.data.method=create et kms.data.type=KEY_COLLECTION :

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS : DEMANDE] reçue, ID du périphérique : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Pour vérifier qu'un utilisateur demande la création d'un nouvel objet de ressource KMS (KRO) lorsqu'un espace ou une autre ressource protégée est créé, filtrez sur kms.data.method=create et kms.data.type=RESOURCE_COLLECTION :

                                                                                                                                                    Vous devriez trouver une entrée telle que :
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS : DEMANDE] reçue, ID du périphérique : https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid : kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Contrôler l'intégrité de la sécurité des données hybrides

                                                                                                                                                  Un indicateur de statut dans le Control Hub vous indique si tout va bien avec le déploiement de sécurité des données hybrides. Pour des alertes plus proactives, inscrivez-vous aux notifications par courrier électronique. Vous serez averti en cas d'alarmes ou de mises à niveau logicielles affectant le service.
                                                                                                                                                  1

                                                                                                                                                  Dans Control Hub, sélectionnez Services dans le menu situé à gauche de l’écran.

                                                                                                                                                  2

                                                                                                                                                  Dans la section Services hybrides, recherchez la sécurité des données hybrides et cliquez sur Paramètres.

                                                                                                                                                  La page Paramètres des données hybrides s'affiche.
                                                                                                                                                  3

                                                                                                                                                  Dans la section Notifications par courrier électronique, tapez une ou plusieurs adresses électroniques séparées par des virgules, puis appuyez sur Entrée.

                                                                                                                                                  Ajouter ou supprimer des utilisateurs de votre version d'évaluation

                                                                                                                                                  Une fois que vous avez activé une version d'évaluation et ajouté l'ensemble initial d'utilisateurs d'évaluation, vous pouvez ajouter ou supprimer des membres d'évaluation à tout moment pendant que la version d'évaluation est active.

                                                                                                                                                  Si vous supprimez un utilisateur de la version d'évaluation, le client de l'utilisateur demandera des clés et la création de clés à partir du KMS cloud au lieu de votre KMS. Si le client a besoin d'une clé stockée sur votre KMS, le KMS du Cloud la récupérera au nom de l'utilisateur.

                                                                                                                                                  Si votre organisation utilise la synchronisation du répertoire, utilisez Active Directory (au lieu de cette procédure) pour gérer le groupe d’essai, HdsTrialGroup ; vous pouvez afficher les membres du groupe dans le Control Hub mais vous ne pouvez pas les ajouter ou les supprimer.

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Mode de test de la zone État du service, cliquez sur Ajouter des utilisateurs ou cliquez sur afficher et modifier pour supprimer les utilisateurs de la version d'évaluation.

                                                                                                                                                  4

                                                                                                                                                  Saisissez l'adresse électronique d'un ou de plusieurs utilisateurs à ajouter ou cliquez sur le X en utilisant un ID utilisateur pour supprimer l'utilisateur de la version d'évaluation. Puis cliquez sur Enregistrer.

                                                                                                                                                  Passer de l'essai à la production

                                                                                                                                                  Lorsque vous êtes satisfait du bon fonctionnement de votre déploiement pour les utilisateurs du test, vous pouvez passer en production. Lorsque vous passez à la production, tous les utilisateurs de l’organisation utiliseront votre domaine de sécurité des données hybrides sur site pour les clés de chiffrement et autres services de sécurité du domaine. Vous ne pouvez pas revenir en mode d'évaluation à partir de la production, sauf si vous désactivez le service dans le cadre de la récupération après sinistre. La réactivation du service nécessite la configuration d'un nouveau test.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Statut du service, cliquez sur Déplacer vers la production.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez déplacer tous vos utilisateurs vers la production.

                                                                                                                                                  Mettre un terme à votre essai sans passer par la production

                                                                                                                                                  Si, au cours de votre essai, vous décidez de ne pas poursuivre votre déploiement de sécurité des données hybrides, vous pouvez désactiver la sécurité des données hybrides, ce qui met fin à l’essai et déplace les utilisateurs de l’essai vers les services de sécurité des données du Cloud. Les utilisateurs De l'essai perdront l'accès aux données qui ont été cryptées pendant l'essai.
                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2

                                                                                                                                                  Sous Sécurité des données hybrides, cliquez sur Paramètres.

                                                                                                                                                  3

                                                                                                                                                  Dans la section Désactiver, cliquez sur Désactiver.

                                                                                                                                                  4

                                                                                                                                                  Confirmez que vous souhaitez désactiver le service et mettre fin à l'essai.

                                                                                                                                                  Gérer votre déploiement HDS

                                                                                                                                                  Gérer le déploiement HDS

                                                                                                                                                  Utilisez les tâches décrites ici pour gérer votre déploiement de sécurité des données hybrides.

                                                                                                                                                  Configurer un calendrier de mise à niveau des clusters

                                                                                                                                                  Les mises à niveau logicielles pour la sécurité des données hybrides sont effectuées automatiquement au niveau du cluster, ce qui garantit que tous les nœuds exécutent toujours la même version logicielle. Les mises à jour sont effectuées en fonction du calendrier de mise à niveau du cluster. Quand une mise à jour logicielle devient disponible, vous avez la possibilité de mettre à niveau manuellement le cluster avant la mise à niveau programmée. Vous pouvez définir un calendrier de mise à jour spécifique ou utiliser la planification quotidienne par défaut de 3:00 AM aux Etats-Unis : Amérique/Los Angeles. Vous pouvez également choisir de reporter une mise à jour à venir, si nécessaire.

                                                                                                                                                  Pour configurer le calendrier de mise à niveau :

                                                                                                                                                  1

                                                                                                                                                  Connectez-vous au Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Sur la page Aperçu, sous Services hybrides, sélectionnez Sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Sur la page Ressources de sécurité des données hybrides, sélectionnez le cluster.

                                                                                                                                                  4

                                                                                                                                                  Dans le panneau de présentation de droite, sous Paramètres du cluster, sélectionnez le nom du cluster.

                                                                                                                                                  5

                                                                                                                                                  Sur la page Paramètres, sous Mise à jour, sélectionnez l'heure et le fuseau horaire pour la programmation de la mise à jour.

                                                                                                                                                  Remarque : Sous le fuseau horaire, la date et l'heure de mise à niveau suivantes s'affichent. Vous pouvez reporter la mise à jour le jour suivant, si nécessaire, en cliquant sur Reporter.

                                                                                                                                                  Changer la configuration du nœud

                                                                                                                                                  Parfois, vous devrez peut-être modifier la configuration de votre nœud de sécurité des données hybrides pour une raison telle que :
                                                                                                                                                  • La modification des certificats x.509 en raison de l’expiration ou d’autres raisons.

                                                                                                                                                    Nous ne supportons pas la modification du nom de domaine NC d’un certificat. Le domaine doit correspondre au domaine d’origine utilisé pour enregistrer le cluster.

                                                                                                                                                  • La mise à jour des paramètres de la base de données pour changer vers une réplique de la base de données PostgreSQL ou Microsoft SQL Server.

                                                                                                                                                    Nous ne supportons pas la migration des données de PostgreSQL vers le serveur Microsoft SQL, ou la façon opposée. Pour changer l’environnement de la base de données, démarrez un nouveau déploiement de la sécurité des données hybrides.

                                                                                                                                                  • Créer une nouvelle configuration pour préparer un nouveau centre de données.

                                                                                                                                                  De plus, à des fins de sécurité, la sécurité des données hybrides utilise des mots de passe de compte de service d’une durée de vie de neuf mois. Lorsque l’outil de configuration HDS génère ces mots de passe, vous les déployez sur chacun de vos nodes HDS dans le fichier de configuration ISO. Lorsque l’expiration des mots de passe de votre organisation approche, vous recevez une notification de l’équipe Webex vous avisant de réinitialiser le mot de passe de votre compte d’ordinateur. (Le courrier électronique contient le texte, « Utiliser l’API du compte machine pour mettre à jour le mot de passe. ») Si vos mots de passe n’ont pas encore expiré, l’outil vous offre deux options :

                                                                                                                                                  • Réinitialisation douce–L’ancien et le nouveau mot de passe fonctionnent tous deux jusqu’à 10 jours. Utilisez cette période pour remplacer progressivement le fichier ISO sur les nodes.

                                                                                                                                                  • Réinitialisation matérielle–Les anciens mots de passe cessent de fonctionner immédiatement.

                                                                                                                                                  Si vos mots de passe expirent sans réinitialisation, ils ont un impact sur votre service HDS, nécessitant une réinitialisation matérielle et un remplacement immédiat du fichier ISO sur tous les nodes.

                                                                                                                                                  Utilisez cette procédure pour générer un nouveau fichier ISO de configuration et l’appliquer à votre cluster.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • L'outil de configuration HDS s'exécute en tant que conteneur Docker sur une machine locale. Pour y accéder, exécutez Docker sur cet ordinateur. Le processus d’installation nécessite les informations d’identification d’un compte Control Hub 6.0 avec les droits d’administrateur complets pour votre organisation.

                                                                                                                                                    Si l’outil de configuration HDS s’exécute derrière un proxy dans votre environnement, fournissez les paramètres du proxy (serveur, port, informations d’identification) via les variables d’environnement Docker lorsque vous ouvrez le conteneur Docker dans 1.e. Ce tableau fournit quelques variables possibles pour l’environnement :

                                                                                                                                                    Description

                                                                                                                                                    Variable

                                                                                                                                                    Proxy HTTP sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS sans authentification

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Proxy HTTP avec authentification

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Proxy HTTPS avec authentification

                                                                                                                                                    mondial_agent_https_Proxy=http://USERNAME:PASSWORD@SERVER_ip : port

                                                                                                                                                  • Vous devez avoir une copie du fichier ISO de configuration actuel pour générer une nouvelle configuration. L’ISO contient la clé principale cryptant la base de données PostgreSQL ou Microsoft SQL Server. Vous avez besoin de l’ISO lorsque vous aiséz des modifications à la configuration, y compris les informations d’identification de la base de données, les mises à jour des certificats, ou les modifications de la politique d’autorisation.

                                                                                                                                                  1

                                                                                                                                                  En utilisant le Docker sur un ordinateur local, exécutez l’outil d’installation HDS.

                                                                                                                                                  1. À la ligne de commande de votre machine, entrez la commande appropriée pour votre environnement :

                                                                                                                                                    Dans les environnements réguliers :

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Cette étape nettoye les images de l’outil de configuration HDS précédentes. S’il n’y a aucune image précédente, elle renvoie une erreur que vous pouvez ignorer.

                                                                                                                                                  2. Pour vous connectez au registre d’image Docker, saisissez ce qui suit :

                                                                                                                                                    connexion docker -u hdscustomersro
                                                                                                                                                  3. À l’invite du mot de passe, saisissez ce hachage :

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Téléchargez la dernière image stable pour votre environnement :

                                                                                                                                                    Dans les environnements réguliers :

                                                                                                                                                    docker pull ciscocitg/hds-setup : stable

                                                                                                                                                    Dans les environnements FedRAMP :

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Assurez-vous de prendre l'outil de configuration le plus récent pour cette procédure. Les versions de l’outil créées avant le 22 février 2018 n’ont pas les écrans de réinitialisation du mot de passe.

                                                                                                                                                  5. Lorsque l’pull est terminé, saisissez la commande appropriée pour votre environnement :

                                                                                                                                                    • Dans les environnements réguliers sans proxy :

                                                                                                                                                      exécution docker -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec un proxy HTTP :

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements réguliers avec une adresse HTTPSproxy :

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • Dans les environnements FedRAMP sans proxy :

                                                                                                                                                      exécution docker -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTP :

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • Dans les environnements FedRAMP avec un proxy HTTPS :

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Lorsque le conteneur est en cours d’exécution, vous voyez « Le serveur Express écoute sur le port 8080. »

                                                                                                                                                  6. Utilisez un navigateur pour vous connecter à l’host local, http://127.0.0.1:8080.

                                                                                                                                                    L'outil d'installation ne prend pas en charge la connexion à l'hôte local via http://localhost:8080. Utilisez http://127.0.0.1:8080 pour vous connecter à l’organisateur local.

                                                                                                                                                  7. Lorsque vous y êtes invité, saisissez vos identifiants de connexion client au Control Hub, puis cliquez sur Accepter pour continuer.

                                                                                                                                                  8. Importez le fichier ISO de configuration actuel.

                                                                                                                                                  9. Suivez les instructions pour compléter l'outil et télécharger le fichier mis à jour.

                                                                                                                                                    Pour fermer l'outil d'installation, tapez sur CTRL+C.

                                                                                                                                                  10. Créez une copie de sauvegarde du fichier mis à jour dans un autre centre de données.

                                                                                                                                                  2

                                                                                                                                                  Si vous n'avez qu'un seul nœud HDS en cours d'exécution, créez une nouvelle MV de nœud de sécurité des données hybrides et enregistrez-le en utilisant le nouveau fichier de configuration ISO. Pour des instructions plus détaillées, voir Créer et enregistrer plus de nœuds.

                                                                                                                                                  1. Installez l'hôte OVA HDS.

                                                                                                                                                  2. Configurez la machine virtuelle HDS.

                                                                                                                                                  3. Montez le fichier de configuration mis à jour.

                                                                                                                                                  4. Enregistrer le nouveau nœud dans Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Pour les nods HDS existants qui exécutent l’ancien fichier de configuration, montez le fichier ISO. Effectuez la procédure suivante sur chaque nœud à son tour, en mettant à jour chaque nœud avant de désactiver le nœud suivant :

                                                                                                                                                  1. arrêtez la machine virtuelle.

                                                                                                                                                  2. Dans le panneau de navigation de gauche du client VMware vSphere, cliquez avec le bouton droit sur la machine virtuelle et cliquez sur Modifier les paramètres.

                                                                                                                                                  3. Cliquez sur Lecteur CD/DVD 1, sélectionnez l'option de montage à partir d'un fichier ISO et accédez à l'emplacement où vous avez téléchargé le nouveau fichier ISO de configuration.

                                                                                                                                                  4. Cochez Connexion à l'allumage.

                                                                                                                                                  5. Enregistrez vos modifications et allumez la machine virtuelle.

                                                                                                                                                  4

                                                                                                                                                  répétez l'étape 3 pour remplacer la configuration sur chaque nœud restant qui exécute l'ancienne configuration.

                                                                                                                                                  Désactiver le mode de résolution DNS externe bloqué

                                                                                                                                                  Lorsque vous enregistrez un nœud ou vérifiez la configuration du proxy du nœud, le processus teste la recherche DNS et la connectivité au Cisco Webex Cloud. Si le serveur DNS du nœud ne peut pas résoudre les noms DNS publics, le nœud passe automatiquement en mode de résolution DNS externe bloqué.

                                                                                                                                                  Si vos nœuds peuvent résoudre les noms DNS publics via les serveurs DNS internes, vous pouvez désactiver ce mode en réexécutant le test de connexion du proxy sur chaque nœud.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Assurez-vous que vos serveurs DNS internes peuvent résoudre les noms DNS publics et que vos nœuds peuvent communiquer avec eux.
                                                                                                                                                  1

                                                                                                                                                  Dans un navigateur Web, ouvrez l'interface du nœud de sécurité des données hybrides (adresse IP/configuration, par exemple, https://192.0.2.0/setup), saisissez les informations d'authentification de l'administrateur que vous avez configurées pour le nœud, puis cliquez sur Se connecter.

                                                                                                                                                  2

                                                                                                                                                  Allez à Aperçu (page par défaut).

                                                                                                                                                  Lorsque cette option est activée, la résolution DNS externe bloquée est paramétrée sur Oui.

                                                                                                                                                  3

                                                                                                                                                  Allez à la page proxy de la Banque de confiance & .

                                                                                                                                                  4

                                                                                                                                                  Cliquez sur Vérifier la connexion du proxy.

                                                                                                                                                  Si vous voyez un message indiquant que la résolution DNS externe n’a pas réussi, le nœud n’a pas pu atteindre le serveur DNS et restera dans ce mode. Sinon, après avoir redémarré le nœud et revenez à la page d’aperçu, la résolution DNS externe bloquée doit être configurée sur non.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Répétez le test de connexion du proxy sur chaque nœud dans votre cluster de sécurité des données hybrides.

                                                                                                                                                  Supprimer un nœud

                                                                                                                                                  Utilisez cette procédure pour supprimer un nœud de sécurité des données hybrides du Cloud Webex. Après avoir supprimé le nœud du cluster, supprimez la machine virtuelle pour empêcher l'accès à vos données de sécurité.
                                                                                                                                                  1

                                                                                                                                                  Utilisez le client VMware vSphere sur votre ordinateur pour vous connecter à l'hôte virtuel ESXi et arrêter la machine virtuelle.

                                                                                                                                                  2

                                                                                                                                                  Supprimer le nœud :

                                                                                                                                                  1. Connectez-vous au Control Hub, puis sélectionnez Services.

                                                                                                                                                  2. Sur la carte de sécurité des données hybrides, cliquez sur Afficher tous pour afficher la page des ressources de sécurité des données hybrides.

                                                                                                                                                  3. Sélectionnez votre cluster pour afficher son panneau Aperçu.

                                                                                                                                                  4. Cliquez sur Ouvrir la liste des nœuds.

                                                                                                                                                  5. Dans l'onglet Nœuds, sélectionnez le nœud que vous souhaitez supprimer.

                                                                                                                                                  6. Cliquez sur Actions > Supprimer le nœud.

                                                                                                                                                  3

                                                                                                                                                  Dans le client vSphere, supprimez la MV. (Dans le panneau de navigation de gauche, faites un clic droit sur la machine virtuelle et cliquez sur Supprimer.)

                                                                                                                                                  Si vous ne supprimez pas la MV, n'oubliez pas de démonter le fichier de configuration ISO. Sans le fichier ISO, vous ne pouvez pas utiliser la MV pour accéder à vos données de sécurité.

                                                                                                                                                  Récupération après sinistre en utilisant le centre de données en veille

                                                                                                                                                  Le service le plus critique que fournit votre cluster de sécurité des données hybrides est la création et le stockage des clés utilisées pour chiffrer les messages et autres contenus stockés dans le Cloud Webex. Pour chaque utilisateur de l’organisation qui est affecté à la sécurité des données hybrides, les nouvelles demandes de création de clés sont acheminées vers le cluster. Le cluster est également chargé de renvoyer les clés qu'il a créées à tous les utilisateurs autorisés à les récupérer, par exemple les membres d'un espace de conversation.

                                                                                                                                                  Étant donné que le cluster remplit la fonction critique de fournir ces clés, il est impératif que le cluster reste en cours d'exécution et que les sauvegardes appropriées soient conservées. La perte de la base de données de sécurité des données hybrides ou de la configuration ISO utilisée pour le schéma entraînera une PERTE IRRÉCUPÉRABLE du contenu du client. Les pratiques suivantes sont obligatoires pour prévenir une telle perte :

                                                                                                                                                  Si un sinistre cause l'indisponibilité du déploiement HDS dans le centre de données principal, suivez cette procédure pour basculer manuellement vers le centre de données en veille.

                                                                                                                                                  1

                                                                                                                                                  Démarrez l'outil d'installation HDS et suivez les étapes mentionnées dans Créer un ISO de configuration pour les hôtes HDS.

                                                                                                                                                  2

                                                                                                                                                  Après avoir configuré le serveur Syslogd, cliquez sur Paramètres avancés

                                                                                                                                                  3

                                                                                                                                                  Sur la page Paramètres avancés , ajoutez la configuration ci-dessous ou supprimez la configuration ModePassif pour rendre le nœud actif. Le nœud peut gérer le trafic une fois que cela est configuré.

                                                                                                                                                   Mode passif : « faux » 

                                                                                                                                                  4

                                                                                                                                                  Terminez le processus de configuration et enregistrez le fichier ISO dans un emplacement facile à trouver.

                                                                                                                                                  5

                                                                                                                                                  Effectuez une copie de sauvegarde du fichier ISO sur votre système local. Conservez la copie de sauvegarde sécurisée. Ce fichier contient une clé de chiffrement principale pour le contenu de la base de données. Limitez l’accès aux seuls administrateurs de sécurité des données hybrides qui doivent effectuer des modifications de configuration.

                                                                                                                                                  6

                                                                                                                                                  Dans le panneau de navigation gauche du client VMware vSphere, faites un clic droit sur la MV et cliquez sur Modifier les paramètres.

                                                                                                                                                  7

                                                                                                                                                  Cliquez sur Modifier les paramètres >Lecteur CD/DVD 1 et sélectionnez Fichier ISO de la banque de données.

                                                                                                                                                  Vérifiez que Connecté et Se connecter à la mise sous tension sont cochés afin que les changements de configuration mis à jour puissent prendre effet après le démarrage des nœuds.

                                                                                                                                                  8

                                                                                                                                                  Mettez le nœud HDS sous tension et assurez-vous qu'il n'y a pas d'alarme pendant au moins 15 minutes.

                                                                                                                                                  9

                                                                                                                                                  Répétez le processus pour chaque nœud dans le centre de données en veille.

                                                                                                                                                  Vérifiez la sortie syslog pour vérifier que les nœuds du centre de données en veille ne sont pas en mode passif. « KMS configuré en mode passif » ne doit pas apparaître dans les fichiers syslogs.

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Après le basculement, si le centre de données principal redevient actif, replacez le centre de données de veille en mode passif en suivant les étapes décrites dans Configurer le centre de données de veille pour la reprise d'activité après sinistre.

                                                                                                                                                  (Facultatif) Démonter ISO après la configuration HDS

                                                                                                                                                  La configuration HDS standard s'exécute avec l'ISO monté. Mais, certains clients préfèrent ne pas laisser les fichiers ISO montés en permanence. Vous pouvez démonter le fichier ISO une fois que tous les nœuds HDS ont repris la nouvelle configuration.

                                                                                                                                                  Vous utilisez toujours les fichiers ISO pour effectuer des modifications de configuration. Lorsque vous créez une nouvelle norme ISO ou mettez à jour une norme ISO via l'outil de configuration, vous devez monter la norme ISO mise à jour sur tous vos nœuds HDS. Une fois que tous vos nœuds ont repris les modifications de configuration, vous pouvez démonter l'ISO à nouveau avec cette procédure.

                                                                                                                                                  Avant de commencer

                                                                                                                                                  Effectuez la mise à niveau de tous vos nœuds HDS vers la version 2021.01.22.4720 ou ultérieure.

                                                                                                                                                  1

                                                                                                                                                  Arrêtez l'un de vos nœuds HDS.

                                                                                                                                                  2

                                                                                                                                                  Dans l'appareil serveur vCenter, sélectionnez le nœud HDS.

                                                                                                                                                  3

                                                                                                                                                  Choisissez Modifier les paramètres > Lecteur CD/DVD et décochez Fichier ISO de la banque de données.

                                                                                                                                                  4

                                                                                                                                                  Mettez le nœud HDS sous tension et vérifiez qu’il n’y a aucune alarme pendant au moins 20 minutes.

                                                                                                                                                  5

                                                                                                                                                  Répétez l'opération à tour de rôle pour chaque nœud HDS.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Afficher les alertes et dépannage

                                                                                                                                                  Un déploiement de sécurité des données hybrides est considéré comme indisponible si tous les nœuds du cluster sont injoignables, ou si le cluster fonctionne si lentement que le temps d'expiration est demandé. Si les utilisateurs ne peuvent pas joindre votre cluster de sécurité des données hybrides, ils rencontrent les symptômes suivants :

                                                                                                                                                  • Les nouveaux espaces ne peuvent pas être créés (impossible de créer de nouvelles clés)

                                                                                                                                                  • Les messages et les espaces ne parviennent pas à décrypter pour :

                                                                                                                                                    • les nouveaux utilisateurs ajoutés à un espace (impossible d'extraire les clés)

                                                                                                                                                    • les utilisateurs existants dans un espace utilisant un nouveau client (impossible d'extraire les clés)

                                                                                                                                                  • Les utilisateurs existants dans un espace continueront à s'exécuter correctement tant que leurs clients auront un cache des clés de chiffrement

                                                                                                                                                  Il est important de surveiller correctement votre cluster de sécurité des données hybrides et d’adresser rapidement toutes les alertes pour éviter toute interruption de service.

                                                                                                                                                  Alertes

                                                                                                                                                  S’il y a un problème avec la configuration de la sécurité des données hybrides, le Control Hub affiche des alertes à l’administrateur de l’organisation et envoie des courriers électroniques à l’adresse électronique configurée. Les alertes couvrent de nombreux scénarios courants.

                                                                                                                                                  Tableau 1. Problèmes courants et étapes à suivre pour les résoudre

                                                                                                                                                  Alerte

                                                                                                                                                  Action

                                                                                                                                                  Échec d'accès à la base de données locale.

                                                                                                                                                  Vérifiez les erreurs de la base de données ou les problèmes de réseau local.

                                                                                                                                                  Échec de la connexion à la base de données locale.

                                                                                                                                                  Vérifiez que le serveur de base de données est disponible et que les informations d'identification du compte de service appropriées ont été utilisées dans la configuration du nœud.

                                                                                                                                                  Échec de l'accès au service du Cloud.

                                                                                                                                                  Vérifiez que les nœuds peuvent accéder aux serveurs Webex comme spécifié dans Exigences de connectivité externe.

                                                                                                                                                  Renouvellement de l'enregistrement du service du Cloud.

                                                                                                                                                  L'inscription aux services du Cloud a été abandonnée. Le renouvellement de l'enregistrement est en cours.

                                                                                                                                                  L'enregistrement du service du Cloud s'est arrêté.

                                                                                                                                                  L'inscription aux services du Cloud est terminée. Le service est en train de fermer.

                                                                                                                                                  Le service n'est pas encore activé.

                                                                                                                                                  Activez un essai ou terminez le test en production.

                                                                                                                                                  Le domaine configuré ne correspond pas au certificat du serveur.

                                                                                                                                                  Assurez-vous que le certificat de votre serveur correspond au domaine d'activation du service configuré.

                                                                                                                                                  La cause la plus probable est que le certificat NC a été modifié récemment et qu'il est maintenant différent du NC utilisé lors de l'installation initiale.

                                                                                                                                                  Échec de l'authentification auprès des services du Cloud.

                                                                                                                                                  Vérifiez l'exactitude et l'expiration possible des informations d'identification du compte de service.

                                                                                                                                                  Impossible d'ouvrir le fichier de magasin de clés local.

                                                                                                                                                  Vérifiez l'intégrité et la précision du mot de passe sur le fichier de magasin de clés local.

                                                                                                                                                  Le certificat du serveur local n'est pas valide.

                                                                                                                                                  Vérifiez la date d'expiration du certificat du serveur et confirmez qu'il a été émis par une autorité de certification approuvée.

                                                                                                                                                  Impossible de publier des statistiques.

                                                                                                                                                  Vérifiez l'accès au réseau local aux services du Cloud externes.

                                                                                                                                                  Le répertoire /media/configdrive/hds n'existe pas.

                                                                                                                                                  Vérifiez la configuration de montage ISO sur l'hôte virtuel. Vérifiez que le fichier ISO existe, qu'il est configuré pour être monté au redémarrage et qu'il se monte correctement.

                                                                                                                                                  Dépannage de la sécurité des données hybrides

                                                                                                                                                  Utilisez les instructions générales suivantes lors du dépannage des problèmes avec la sécurité des données hybrides.
                                                                                                                                                  1

                                                                                                                                                  Consultez Control Hub pour connaître les alertes et corrigez les éléments que vous y trouverez.

                                                                                                                                                  2

                                                                                                                                                  Vérifiez la sortie du serveur syslog pour connaître l’activité du déploiement de sécurité des données hybrides.

                                                                                                                                                  3

                                                                                                                                                  Contacter l'Assistance Cisco.

                                                                                                                                                  Autres notes

                                                                                                                                                  Problèmes connus avec la sécurité des données hybrides

                                                                                                                                                  • Si vous fermez votre cluster de sécurité des données hybrides (en le supprimant dans le Control Hub ou en arrêtant tous les nœuds), si vous perdez votre fichier ISO de configuration ou si vous perdez l’accès à la base de données du magasin de mots de passe, les utilisateurs de votre application Webex ne peuvent plus utiliser les espaces sous leur liste de personnes qui ont été créés avec les clés de votre KMS. Ceci s'applique aux déploiements d'essai et de production. Nous n'avons actuellement pas de solution ou de correctif à ce problème et nous vous exhortons à ne pas fermer vos services HDS lorsqu'ils traitent des comptes utilisateurs actifs.

                                                                                                                                                  • Un client qui a une connexion ECDH existante vers un KMS maintient cette connexion pendant une période de temps (probablement une heure). Lorsqu’un utilisateur devient membre d’une version d’évaluation de sécurité des données hybrides, le client de l’utilisateur continue d’utiliser la connexion ECDH existante jusqu’à ce qu’elle expire. Sinon, l’utilisateur peut se déconnecter et se reconnecter à l’application Webex pour mettre à jour l’emplacement auquel l’application contacte pour les clés de chiffrement.

                                                                                                                                                    Le même comportement se produit lorsque vous déplacez un essai en production pour l'organisation. Tous les utilisateurs exclus du test disposant d'une connexion ECDH existante aux services de sécurité des données précédents continueront à utiliser ces services jusqu'à ce que la connexion ECDH soit renégociée (via le délai d'expiration ou la déconnexion et la reconnexion).

                                                                                                                                                  Utiliser OpenSSL pour générer un fichier PKCS12

                                                                                                                                                  Avant de commencer

                                                                                                                                                  • OpenSSL est un outil qui peut être utilisé pour effectuer le fichier PKCS12 au format approprié pour le chargement dans l'outil de configuration HDS. Il y a d'autres façons de le faire et nous ne soutenons pas ou ne promouvons pas l'un par rapport à un autre.

                                                                                                                                                  • Si vous choisissez d'utiliser OpenSSL, nous fournissons cette procédure comme guide pour vous aider à créer un fichier qui répond aux exigences du certificat X.509 dans Exigences du certificat X.509. Comprenez ces exigences avant de continuer.

                                                                                                                                                  • Installez OpenSSL dans un environnement pris en charge. Voir https://www.openssl.org pour le logiciel et la documentation.

                                                                                                                                                  • Créer une clé privée.

                                                                                                                                                  • Commencez cette procédure lorsque vous recevez le certificat du serveur de votre autorité de certification (AC).

                                                                                                                                                  1

                                                                                                                                                  Lorsque vous recevez le certificat de serveur de votre autorité de certification, enregistrez-le en tant que hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Affichez le certificat sous forme de texte et vérifiez les détails.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Utilisez un éditeur de texte pour créer un fichier de regroupement de certificats appelé hdsnode-bundle.pem. Le fichier de regroupement doit inclure le certificat de serveur, tous les certificats des autorités de certification intermédiaires et les certificats des autorités de certification racine, au format ci-dessous :

                                                                                                                                                  -----CERTIFICAT DE DÉBUT------- ### Certificat de serveur. ### -----CERTIFICAT DE FIN------ ----CERTIFICAT DE DÉBUT----- ### Certificat d'autorité de certification intermédiaire. ### -----CERTIFICAT DE FIN--------CERTIFICAT DE DÉBUT----- ### Certificat d'autorité de certification racine. ### -----CERTIFICAT DE FIN-----

                                                                                                                                                  4

                                                                                                                                                  Créez le fichier .p12 avec le nom facile kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Vérifiez les détails du certificat du serveur.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Saisissez un mot de passe à l'invite pour chiffrer la clé privée afin qu'elle soit répertoriée dans la sortie. Ensuite, vérifiez que la clé privée et le premier certificat incluent les lignes friendlyName : kms-private-key.

                                                                                                                                                    Exemple :

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Saisir le mot de passe d'importation : Attributs Mac vérifiés OK Bag friendlyName : kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Attributs clés :  Entrez la phrase de passe PEM : Vérification - Saisir la phrase d'accès PEM : -----CLÉ PRIVÉE CHIFFRÉE DE DÉBUT-----  -----CLÉ PRIVÉE CHIFFRÉE DE FIN----- Attributs du sac friendlyName : kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----CERTIFICAT BEGIN-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Cryptons l'autorité X3,O=Cryptons,C=US subject=/C=US/O=Cryptons/CN=Cryptons l'autorité X3 émetteur=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  Que faire ensuite

                                                                                                                                                  Retournez à Remplir les prérequis pour la sécurité des données hybrides. Vous utiliserez le fichier hdsnode.p12 et le mot de passe que vous avez défini dans Créer une configuration ISO pour les hôtes HDS.

                                                                                                                                                  Vous pouvez réutiliser ces fichiers pour demander un nouveau certificat lorsque le certificat d'origine expire.

                                                                                                                                                  Trafic entre les nœuds HDS et le Cloud

                                                                                                                                                  Trafic des collection de mesures sortantes

                                                                                                                                                  Les nœuds de sécurité des données hybrides envoient certaines métriques au Cloud Webex. Ceux-ci incluent les métriques du système pour le tas max, le tas utilisé, la charge du processeur et le nombre de threads ; les métriques sur les threads synchrones et asynchrones ; les métriques sur les alertes impliquant un seuil de connexion de chiffrement, de latence ou une longueur de file d'attente de demandes ; les métriques sur le magasin de données ; et les métriques de connexion de chiffrement. Les nœuds envoient un contenu de clés cryptées sur un canal hors bande (séparé de la demande).

                                                                                                                                                  Trafic entrant

                                                                                                                                                  Les nœuds de sécurité des données hybrides reçoivent les types de trafic entrant suivants à partir du Cloud Webex :

                                                                                                                                                  • demandes de chiffrement des clients, acheminées par le service de chiffrement

                                                                                                                                                  • Mises à niveau du logiciel du nœud

                                                                                                                                                  Configurer les proxys Squid pour la sécurité des données hybrides

                                                                                                                                                  WebSocket ne peut pas se connecter via le proxy Squid

                                                                                                                                                  Les proxys squid qui inspectent le trafic HTTPS peuvent interférer avec l’établissement des connexions websocket (wss :) nécessaires pour la sécurité des données hybrides. Ces sections fournissent des conseils sur la façon de configurer différentes versions de Squid pour ignorer WSS : le trafic pour un fonctionnement correct des services.

                                                                                                                                                  Squid 4 et 5

                                                                                                                                                  Ajoutez la on_unsupported_protocol directive à squid.conf :

                                                                                                                                                  on_unsupported_protocol tunnel tous

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Nous avons testé avec succès la sécurité des données hybrides avec les règles suivantes ajoutées à squid. conf. Ces règles sont sujettes à modification au fur et à mesure que nous élaborons des fonctionnalités et que nous mettons à jour le Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl ::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl étape1 at_step SslBump1 acl étape2 at_step SslBump2 acl étape3 at_step SslBump3 ssl_bump peek étape1 tous ssl_bump stare étape2 tous ssl_bump bump étape3 tous
                                                                                                                                                  Cet article était-il utile ?
                                                                                                                                                  Cet article était-il utile ?